题目叫注入,先burp fuzz试一下

SQLi 迎圣诞,拿大奖”活动赛题 复现 随笔 第1张

SRE实战 互联网时代守护先锋,助力企业售后服务体系运筹帷幄!一键直达领取阿里云限量特价优惠。

出来了一堆长度不一样的,还出了一个这个函数,这个函数大概问题就是 逃逸问题

比如输入%1$/'     他后端会把这个%  会吧1%/全部给吃掉,就导致单引号逃逸出来了

SQLi 迎圣诞,拿大奖”活动赛题 复现 随笔 第2张

然后自己布尔盲注就上脚本跑就OK了

扫码关注我们
微信号:SRE实战
拒绝背锅 运筹帷幄