Naptmn的博客

进入之后发现是账号密码登录框，尝试一下万能密码 登录成功 经过尝试发现这个password好像没哈用，之后我们在这个页面里尝试在url中进行注入 注意这里是在url中，所以#要用%23代替（url解码） 在username后面输入pl admin’ order by 3%23和admin’ order by 4%23 发现4的时候不报错（但是这里有个问题就是admin换成别的时候就会提示密码错误，所以要改成admin，因为可能数据库中没有你的那个name） 之后我们看回显点，这个地方userna

输入1 输入1’没有反应 试一下联合查询,先看回显 被过滤了 所以尝试堆叠查询 然后上网查，，，居然是要推测出后端的代码 sql = "select".sql="select".sql="select".post[‘query’]."||flag from Flag"; 在注入前有一个知识点就是select 1 from table到底查了点什么 到Navicat中试一下，我的表名叫user，里面没有字段1，共有11行记录 可以看到这句话的意思是在原有的表中临时增加一列，里面的内容全部都是1，.

直接上传一个php的一句话发现无法上传 f12找到前端验证 这里有两个方法 1、直接删除这个元素 2、先上传jpg格式的一句话，bp抓包改为php 发现上传后后端仍然有检查 于是我们上传phtml格式的一句话木马（这里同样需要绕开前端验证） phtml可以理解为是另外一个php的文件后缀名 上传成功后蚁剑连接即可 ...