rev1ve的博客

可是关键点是我们并不知道flag的位置以及文件名，所以无法直接include包含flag，那么我们尝试写入一句话木马，然后include包含它实现RCE。思路正确的，那么我们先解决注入的目录路径，这里利用option的**我们的思路就是上传phar文件，然后利用function.php的参数mysqlpath去phar伪协议读取然后命令执行。我们接着往下看，接收参数mysql包括对应键名进行sql数据库连接，可是我们并不知道具体的信息。然后我们POST上传，注意ip和端口是我们内网穿透的。

update命令涉及到参数newname以及从数据库中查找参数oldname值，而后面进行rename()的时候是文件名（不包括拓展名），并且后面拼接路径是从数据库中查找拓展名，那么是不是可以文件名为1.php，然后拓展名为空即可实现getshell。至于为什么选择在oldname注入，是因为文件上传的时候虽然做了转义但是文件名并不会发生改变，然后在rename的时候oldname是从数据库中找到，而我们在newname注入的话，会发生转义导致文件路径包含\。是从数据库中得到的，也就是说文件名。

为了更深入学习sqlmap，打算对sqli-labs进行SQL注入测试学习内容包括不同的请求方式和请求参数，总之写下这篇博客记录我的学习过程。

[SUCTF 2019]EasySQL 堆叠注入 sql_mode

[SWPUCTF 2021 新生赛]easy_sql

[强网杯 2019]随便注 1