WooYun.org

存在注入点的URL为http://xyk.edai.com/xyk/shenqing/card/?cardId=2152，

经过简单的测试方发现过滤了AND SELECT等常规的注入关键词。不过and可以使用or进行替换

.然而select却被无情的替换为空

然后想到既然是SELECT被替换为空了，如果使用SEL+SELECT+ECT来替代，然后替换了SELECT为空，不是又还原了SELECT了么。尝试了下，发现我的想法是即成立的

果然出数据了。然后立马查看了下sqlmap的tamper里面的各种tamper，发现了一个类似的nonrecursivereplacement 主要是在("UNION", "SELECT", "INSERT", "UPDATE", "FROM", "WHERE")中间继续填充一个关键词。把UNION SELECT转换为UNIOUNIONN SELESELECTCT。然而这里我们测试发现仅仅需要替换select就可以了。于是稍作修改，丢到sqlmap里面试试

。然后打算跑其中的某个表，发现返回结果为空.使用 -v 3 得到的语句丢到浏览器发现报错了

。那么只能手工玩玩了。自己组合了一个语句丢进去

成功报错出字段。使用burp跑了会