接到授权测试，给到的信息只有，目标网站是一个共享3D模型网站，主要的功能只有一个上传模型功能#CTL{\n}这个网站没有后台管理员入口，所以这里主要测试上传点#CTL{\n}#CTL{\n}#CTL{\n}#CTL{\n}发现注册时可以上传头

某医院sql注入实战今日放假，于是就上网看看能不能碰碰运气挖个洞进入某人民医院网站随便打开个医院动态看看可以看见他的url长这样，看上去没有任何问题，就是在访问网站内的文件那样。我尝试修改一下url，让他报个404看看能不能把cms版本爆出来(这里把5去掉了)然后神奇的事情发生了这里并没有被404，而是被302跳转到了一个错误页他报了一个语法错误，看一下url，发现多了个传参，那就直接

来到某高校网站，随便找了一个页面，看URL栏，发现有两个传参先试试分别给两个传参加入引号第一个传参：发现报错弹窗，顺手测试了一下其他符号，发现都弹窗报错，这里过滤太过严密，于是放弃这个点，转手测试下一个传参第二个传参：发现报错，还直接把sql语句给爆出来了！看到发现有魔术引号并可以通过观察语句发现这是个数字型的，可以尝试数字型注入遇事不决，先or 1=1 （观察语句可以发现不用注释）这里