一、发现漏洞1.1. 发现这是一篇两年前的笔记了。之前平常喜欢看些电影影片，不想充值VIP，才发现的网站，但是这个网站A并不是主要测试的，而是通过发现他的兄弟网站B，然后进行渗透。1.2. 测试有事没事对网站动一动，发现A存在XSS，但是并没有多大的利用价值，但是通过友情链接，跳转到了B，就觉得B可能也在同个位置存在XSS但是，令人惊讶的是，我没发现XSS，但是确发现存在SQLI。加了个’,直接把sql语句爆出来了，如下图1。 图 1二、漏洞利用2.1 闭合规则原始的语句：SELECT`y80s_movies`.*,`y80s_photos`.`path`ASphoto_path,`y80s_

程序员作为一群专业的护林员，他们以代码为工具，协同行动，兢兢业业地维护着整个森林生态的平衡...关爱程序员，从我做起。京东云11.11云上狂欢季，为所有程序员送福利，解锁N种优惠玩法！云上狂欢季活动为广大程序员和个人开发者特别提供2核8G、4核8G等不同配置的云主机产品，性价比拉满。入门机型云主机1核2G3个月只需51.7元，个人用户不容错过！年末最大力度的促销活动，买云主机即赠700元SSL证书券、1500元MySQL数据库、主机（VM、硬盘）通用券！此外，京东云11.11特别彩蛋“王牌体验官”活动首期上线！诚挚邀请各路技术达人、测评专家、最最最会挖掘产品秀点和槽点的输出王者下场献计！输出体

程序员作为一群专业的护林员，他们以代码为工具，协同行动，兢兢业业地维护着整个森林生态的平衡...关爱程序员，从我做起。京东云11.11云上狂欢季，为所有程序员送福利，解锁N种优惠玩法！云上狂欢季活动为广大程序员和个人开发者特别提供2核8G、4核8G等不同配置的云主机产品，性价比拉满。入门机型云主机1核2G3个月只需51.7元，个人用户不容错过！年末最大力度的促销活动，买云主机即赠700元SSL证书券、1500元MySQL数据库、主机（VM、硬盘）通用券！此外，京东云11.11特别彩蛋“王牌体验官”活动首期上线！诚挚邀请各路技术达人、测评专家、最最最会挖掘产品秀点和槽点的输出王者下场献计！输出体