摘要： 题目来源：XCTF 4th-CyberEarth题目描述：工控云管理系统的文档中心页面，存在不易被发现的漏洞。 进入场景，如下，页面有一个下载功能（点击paper），下载功能只能下载pdf文件，会在dl参数加上.pdf。 目录扫描可以得到secret目录，该目录文件会被列出来。有两个文件，一个是se 阅读全文

摘要： 题目来源：XDCTF 2015题目描述：暂无 进入界面 这题看似文件上传，其实主要是利用sql注入修改指定文件在数据库中的后缀名为空。 首先，/www.tar.gz 下载源码 源码审计 数据库的字段结构为 SET NAMES utf8; SET FOREIGN_KEY_CHECKS = 0; DRO 阅读全文