起因:偶尔需要注册新的账号，所以找了个接码平台使用，然后因为自己没有对接码平台测试过，所以就简单的看了看网站。知识点:1.SQL注入，文件上传，存储型XSS注册界面是这样的，直接扫目录发现，存在web.zip等目录直接访问http://ip/houtai 发现到了后台目录爆破了下口令没出来，然后抓包看了下发现注入。直接扔sqlmap去了，因为库名就是IP所以码打的比较多。成功登陆账