WooYun.org

首先放出两枚存在问题的URL
1.http://cd.aipu.com/m_news.php?id=
2.http://cd.aipu.com/weixiu/?are=
首先扫到该注入点，放到sqlmap准备跑一跑，结果给我看这个

我开始还以为是误报，然后手工看了下

确定是有注入点的，然后脑补了一下，难道是我跟不上潮流了，有什么新的高大上的数据库出来了，然后用手工确定是不是mysql

是的啊，
看报错界面

也是的哇
为什么sqlmap不出来，难道是有waf或者是厂商自己写了过滤器？
就先往下尝试
(select length(user()))=*

确定用户长度是17
那就一个一个尝试吧，后来在手工的过程中逐步确认了可能的原因
举个例子
ELT((ASCII(SUBSTR(user(),3,1)))>118,SLEEP(2))

ELT((ASCII(SUBSTR(user(),3,1)))>119,SLEEP(2))

本来应该是这样美好的判断是119的，然而重复提交几次119请求结果发现了一次延时，对，没错就是延时

于是我在想为什么哇，于是我在115至120之间每一个数字都重复提交多次，结果是这样的
115-118之间不过提交多少次都是延时，而119-120重复提交多次有一次延时。奇葩啊，怪不得工具跑不出来，这种特例需要针对性的写工具才行，需要重复的判断，根据大量请求来稳定概率。