Rank-l
登录的时候用户名可以ssti,有黑名单
![image-20250118101754958]
密码随意,错误的时候会渲染用户名
![image-20250118101709774]
sqli or not
源码
第一个waf,url编码就可以绕过了,因为url获取的是原始的,req.query.info获取的是url解码之后的
第二个waf过滤了' " \
等字符,注意这里用了replace函数
而我们可控的第二个参数可以是$`,相当于select * from userinfo where username = ',也就是匹配到{username}的左边字符串。
![image-20250118192521986]
相当于多了一个'来闭合
![image-20250118193235515]