通过观察url,有参数id,试一试sql注入 使用sqlmap工具进行检测: 存在sql注入漏洞,查看数据库信息 发现数据库结构,存在note数据库,查看该数据库 查看fl4g表结构以及数据: 得到flag字段的值。