今天搭建了一个云业 Cms2.0 的靶场，然后测了一波注入。有个注入点很神奇便做一个记录 提醒自己以后多坚持一下。

直接上BP 抓的包来进行查看和测试

此时发现字节长度为 38246，百度了一下云业 cms 的历史漏洞发现说 userid 存 在 SQL 注入但是我尝试了很久无果，于是便尝试了一波 groupid 这个参数然后就 发现了这个注入点，但是这个注入点有点奇怪。首先老规矩，上才艺(单引号)。

一个单引号字节数没有任何区别，上2个单引号看看

发现还是没有任何区��，所以这个参数应该对单引号不敏感。对参数值进行/1 和/0 来 looklook 返回包的情况。

参数值/0 发现字节数和上面存在区别，难道存在注入？/1 和/2 进行 looklook

/1 没有任何变化

/2 也是没有任何变化。难道不存在注入？可能很多师傅在这里就放弃了，但是我多坚持了一会儿，因为想慢一点接受他很硬的现实。就丢了个轮子尝试了一波。

字节数又变了，难道又是假象？

字节数又变了，哇哦，为了怕是其他问题测试了一波 and 1=3 来稳一手

1=2 和 1=3 没有区别，大概率存在 sql 注入了，虽然有点神奇不过继续注入， 看 起 来 好 像 盲 注 其 实 是 报 错 注 入 。 Poc:updatexml(1,concat(0x7e,select user(),0x7e),1)

分析这个包，可以发现我们输入进去的语句中 update 和 select 都被实体化编码 了，既然这样那就把 update 换了，将 select 去了 Poc:1 and extractvalue(1, concat(0x7e,user(),0x7e))

然后成功注出了数据，果然还是得细心一点。一个神奇的注入点！