继续写题。

　　这题看上去是一道sql注入题。F12查看后台代码。

　　可以看到后台有两个变量，分别是uname以及passwd。然后接下来读一下后台的代码，这里的意思是，如果用户输入的密码经过md5加密后，和通过select语句选出来的password相等，则输出“login success”，否则输出“login fail”。利用这里md5()条件语句,我们可以对后台的sql语句进行注入。

　　发包之后，这里后台的sql语句实际上就变成了"select password from gwuser where username ='-1' union select md5(1)#'"。接下来后台条件语句进行判断的时候，因为此时row['password']为md5(1),而发过去的包里面passwd亦等于md5(1)，条件成立，所以页面会跳转到这样一个界面，如下图所示。

　　继续F12查看后台代码，如下图所示。

　　可以看到后台也有两个变量，分别是no和name。先尝试一下sql注入爆表，如下图所示。

　　成功爆出表名——“gwhts"。

　　而后继续爆行，如法炮制。不过接下来很快会发现报错，弹出"Attack!"。

　　检查过自身语句没有错误后，这时考虑到了后台对标点符号的过滤（本题亮点）。于是将? / . ' ` "等英文标点符号导入到burpsuit，一起发包，得到下图。

 

 

 

 

　　通过上面两张图我们可以发现，在输入name变量的时候， ' 被后台过滤掉了，而其他字符没有。于是sql注入语句应该要改为"no=-1\&name= union select column_name from information_schema.columns where table_name="gwhts" limit 1,1#"。爆出行val。

　　最后爆出flag。如下图所示。