嗯哼~~~

...//....//....//etc/passwd（嵌套../，防御机制会过滤../，但只能过滤一遍，过滤完还剩../../../etc/passwd）filename=../../../etc/passwd%00.png（要求符合的文件扩展名，%00为NULL，找文件时NULL后面的.png会被忽略）/var/www/images/../../../etc/passwd（要求指定根目录）../../../etc/passwd（无防御时）下面这个图是做了防御，但是防御的不好。

从而被人获取系统信息。现在有个这样一个例子，前端web页面的使用者，想要查询库存，发送的请求里有两个参数，这两个参数会被当做系统命令的参数执行，如下图，在参数后注入额外的系统命令，获取到本不该被获取的信息。因为几个参数是用&连接的，注入& ping -c 10 127.0.0.1 &的时候，用 || 代替 & ，用于命令衔接。这是有两个条件的，一是有系统命令注入漏洞，二是前端能访问服务器的某些文件，且他们在同一个服务器上。盲注是，系统命令不会将执行结果返回到前端显示，用户不能直观的看见命令是否被执行。

可能还要插句嘴，上面的两图，是代码内部的大概样子，具体的URL可能不会直接贴在代码里，而是通过参数传递，比如下面真实的报告例子，是通过参数redirect传递的。如果有一天这个地址（指向该内容的url）变了，但我这里引用的还是老地址，当有人点击的时候，可能找不到（not found），也可能直接跳转到对应的新的地址（所谓的重定向）。（% 编码为%25，解码时，从左到右，前头的%25 解码成%，第二次解码时，前面还有一个%25，还是解码成%，第三次解码时，剩下%3A 解码成 : ）##例子（Example）

在这里，UNION 前面的内容是 程序原有的查询逻辑，UNION后面的是，拼接的额外查询，两个SELECT查出来的内容会拼在一起，所以，前后两个SELECT查询的列数要相等，即，第一个SELECT 查 a、b两列，那第二个SELECT 要查的列数也得是两列c、d。括号里CASE 表达式，会得到一个值，要么是1/0，要么是’a’，如果WHEN 后面的条件为真，则取THEN后面的值，如果WHEN条件为假，则取ELSE 后面的值，后面的END是CASE表达式的一部分，表示该表达式结束。以上的例子有什么问题吗？

遇到过这样的情形，测试认证漏洞的时候，需要特别制作payload，仅是试验用的数据就有100个，如果要制作一个payload集每个密码之间都间隔一个正确密码，就得粘贴100次。这还是最简单的payload。如果需要的payload是json格式呢？有个现成的payload密码集100个，现在需要在每个密码前插入一个已知账号的正确密码，最后也是200行。例如，用户名payload为，一个已知账号 + 一个待测试账号，重复100遍，一共200行。如果要求payload是这样的。只能写个脚本了，如下是例子。