CTF show WEB10
题目地址:https://ctf.show
打开页面点击取消按钮,出现源码。$regex = "/(select|from|where|join|sleep|and|\s|union|,)/i";
从源码中可以得知几乎把注入用到的关键词过滤的差不多了。
如果只有这一条现在可以采用双写绕过,但是下面这条限制,使得无法双写绕过
if(strlen($username)!=strlen(replaceSpecialChar($username))){
die("sql inject error");
转载
2020-09-04 14:57:25 ·
657 阅读 ·
0 评论