BugkuCTF练习-成绩单

1.先测试正常数据，用火狐的hackbar插件post请求，一切正常

2.加上单引号’则数据为空，但是再加上注释符#就又正常了

3.然后尝试获取列数，因为已经有名字和三科成绩了，所以就测试4或者更高，得知是4列


4.尝试联合查询，记得把前面的查询数据置空，写成id=0即可，显示正常，说明确确实实存在这四列数据

5.然后尝试查询数据库，数据库的用户，数据库的版本

6.根据数据库skctf_flag去查询表名（固定格式，目前我还不是很懂这个代码，有懂得的大佬麻烦讲解一下，谢谢了）

7.然后根据fl4g表去查询列名

8.知道列名之后直接去获取数据吧，然后就得出了flag

PS：或者有时候也可以直接用select * from fl4g来获取这个表的所有数据。