1.漏洞注入点分析(黑名单 )
2.注入payload构造(双参数构造,sqlmap绕过)
注册账号后发现网站有在线留言功能,可以查看能否注入
但是没有两个连在一起的可控参数,无法利用成功
继续往下查看
查看F函数
#F函数(get和post)
function F($a,$b='')
{
$a=strtolower($a);
if(!strpos($a,'.'))
{
$method='other';
}
else
{
list($method,$a)=explode('.',$a,2);
}
switch ($method)
{
case 'get':
$input=$_GET;
break;
case 'post':