攻防世界 web进阶练习 NewsCenter

题目是NewsCenter，没有提示信息。
打开题目，有一处搜索框，搜索新闻。考虑xss或sql注入，随便输入一个abc，没有任何搜索结果，页面也没有什么变化，考虑SQL注入。

随便输入234234234，用burp抓包，发现是post方式，直接用sqlmap爆破。
将http头保存为1.txt，试试用sqlmap爆数据库


查看news数据库内容sqlmap -r 1.txt -D news --dump

得到flag！