m0_74167420的博客

第四步：使用database()，查询数据库 1' union select 1, database() --+第一步：确定sql注入的类型。1' or 1=1 确定为字符型(根据上面的php代码也能确定)应该使用下列查询语句：加个括号。第二步：使用order by确定列数 1' order by 3 --+第三步：测试回显位：1' union select 1,2 --+该题目与上一个题目不是同一个类型，该题目需要进行sql联合查询。第二个x代表是需要确定是有几个列，并且确定回显字段。

使用array_reverse()函数，颠倒查询到的目录下的文件的位置，即将flag.php文件移动到第二个位置。scandir()函数，扫描目录，由于 . 代表当前目录，所以会扫描当前目录中的文件。使用$9，因为$9只是当前系统shell进程的第九个参数的持有者，它始终为空字符串。localeconv()函数可以返回一个小数点 和数组，小数点位于数组的第一位。3、使用连续调用函数的方法，实现对flag的输出。pos()函数输出数组的第一位，即输出小数点。利用next()函数，读取第二个位置的文件。

可以在system函数中执行nl命令，也可以通过echo等输出函数输出结果。解题：eval函数为该题中的解题点，eval函数会将字符串当做php代码来执行，所以要得到flag，只需要在传参过程中执行查询flag的命令，且字符串中不出现flag。使用cat / tac 命令查看flag，是用fla + 通配符*来代表flag，由于f开头字符只有一个，f*其实就可以。分析：参数c正则匹配查询flag，没有则执行eval($c)。nl命令：nl是给文件的每一行添加行号，并发送到标准输出。