# 說明
抓包之後去找一下那些參數可以被注入的,例如… web 的參數。
可以利用文件來取得一些本來不能被看到的東西。當網站出現能訪問系統資料夾的漏洞時。我們就可以猜測密碼檔案。
例如 linux:/etc/passwd, 但有時候並不是放在跟目錄底下。所以有可能是…/etc/passwd, …/…/etc/passwd, 之類的。
但如果是 windows, /WINDOWS/win.ini
然後再注入的時候可以用 burpsuite 去猜測,而這邊有字典檔案,檔案 2 。
onon1101
早安>.<