SHCTF3rd

WEB

上古遗迹档案馆

首先判断注入类型，是字符型

利用group by判断列数是2列

初次尝试获取数据但失败，意外从报错信息中提取到目标数据库名 archive_db(数据库误将内置函数解析为库下自定义函数，意外暴露库名)

尝试直接访问得到的库名下的第一个表名，发现无法正常回显

因此利用报错注入得到关键库名

最终一步步构造url拼接得到flag

注:extractvalue 函数有字符长度限制（仅能返回约 32 个字符），flag 内容通常超过该长度，因此查询结果会被自动截断，这是报错注入的常见问题，并非语句错误。
解决方法：用substr函数分段读取完整flag利用 MySQL 的substr(查询内容, 起始位置, 读取长度)函数，分段截取secret_key的内容，再拼接即可得到完整 flag。

ez-ping

通过ls命令查看该文件夹下的文件

发现黑名单机制

利用../查看上级文件夹内文件,发现flag

由于黑名单限制，因此用该方法绕过,获得flag