sky2dawn

摘要： 信息收集 arp-scan nmap 获取userFlag 只有一个web，上去看看 随便输入点东西 发现返回了很多内容，这里就可以合理猜测前面是拼接了什么命令的，实现的应该是一个类似于searchsploit的功能，也就是说这里可能存在命令注入，通过以下方式验证： web上： ?product=w 阅读全文