2018年6月20日记录:
在实验吧做了一道关于后台登陆的题目,之前自己对php注入方面认识的不是很好,所以一直对注入这方面谈虎色变,今天做了一下,其实自己好好分析整个过程,发现并不是特别难的,难得只是不敢动手去做:
我看到这个问题的时候一看网址:
http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php
没有文件包含的意思(最近被打击,总是想着确认一下),然后是正儿八经的php站点,想着肯定是涉及到注入了,点击了输入框,查看了一下源代码,找到了后台数据库的查询代码:
$password=$_POST['password'];
$sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".