题目2　截断绕过

题目概况

URL中的“%00”在ASCII码中表示0，而ASCII码中的0表示字符串的结束，所以，当URL中出现“%00”时，服务器会认为URL已经结束，不会再去检测后面的内容，而这将引发绕过验证。在0CTF比赛中就出现过这样的题目。

解题思路

如图1-3所示，这是一道简单的注入题。题目明示要靠注入找到flag，但WAF屏蔽了一些关键字。

如图1-4所示，检测注入点。在地址栏中输入以下内容。

可以看出，注入点就是id，但后面的参数中有一些被WAF检测出来了，所以输入的内容被拦截了。进行一轮模糊测试，得到下面的测试结果。

• 已被检测的关键字：SELECT、WHERE、FROM。

• 未被检测的关键字：UNION、LIMIT、AND、OR、LIKE，以及符号“*”“&”“#”等。

接下来，解题思路就可以简化成：使用SELECT语句且不被WAF拦截（也就是关键字绕过）。

如图1-5所示，尝试使用编码绕过、大小写绕过、内联注释、在关键字内添加无效字符等方法后，发现可以利用在关键字内添加无效字符的方法绕过“SEL%00ECT”。

可以看到，在关键字内添加“%00”即可成功绕过WAF的检测。继续进行注入，看看数据库中有哪些表。

得到的表名如下。

在结尾处有我们最关心的flag表。构造语句，注入flag表，如图1-6所示。

如果对手工注入不太熟悉，可以使用sqlmap中的template脚本。

将InsertNullCharInSQLKeywords.py文件复制到sqlmap的template目录下，py文件内容如下。