![[NCTF2019]SQLi regexp正则注入](/uploads/reation/bcimg6.png)
[NCTF2019]SQLi regexp正则注入
进去明摆着叫我们注入获得用户名或密码,先不急看看还有没有一些信息,扫后台可以发现robots.txt文件,里面暗示我们去hint.txt看一下可以发现我们只需要获取admin的密码即可,账号任意$black_list = "/limit|by|substr|mid|,|admin|benchmark|like|or|char|union|substring|select|greatest|%00|\'|=| |in|<|>|-|\.|\(\)|#|and|i
