WEB4
1. Upload
打开链接
任意上传文件首先想到的是一句话木马,于是上传,回显结果为
发现过滤了<?php
于是上网上找了一个防治过滤的
重新上传,上传成功,再用菜刀连接
得到flag
2. SQL
打开链接
题目有提示是sql注入题,并查看源码发现注释
是数字型注入
- 判断字段数
看来过滤了些东西
判断是否为空格
不是看来是关键字
上网查找后,发现用<>可将关键字分割 order ord<>er(二分法)试一下
![在这里插入图片描述](https://img-blog.csdnimg.cn/20200316193314337.png
果然可以,sel<>ect a<>nd等同理
判断后有3列
确定显示位
第二位
爆库
爆表
猜测在info中
爆列明
查内容