抓包,添加xff并在后面添加'进行测试是否有注入漏洞; 发现在xff处能够进行注入; 将burpsuite抓包后修改xff保存为txt文件并使用sqlmap爆库; 爆表名; 爆列名; 爆数据; 登录得到key;