一.挖掘过程简述： 通过收集到的账号密码进入后进行测试无果，查看登录返回包后修改role_id参数进入管理员后台，后台存在文件上传功能且对文件后缀和内容有检查，后缀检测时前端进行的，可以通过抓包进行修改，对内容有检测要免杀。此外这里还存在csv注入，后面再详细说。二.详细过程 1.通过谷歌语法收集到账号和密码。很多隐藏资产可能存在各种文本文件中，这时候就需要用到谷歌语法进行收集，这里列出一个

刚学到文件上传文件的小白，充满激情的想要去挖漏洞，我就到各学习社区去看别人第一次如何挖漏洞的。第一次我就去尝试挖了某天的公益的SRC，一套信息收集下来，除了官网没有多少可以继续渗透的，很多子网站都是私密访问链接，没办法就放弃了。#CTL{\n}今天在在谷歌搜索偶然碰到了一个存在sql注入的网站。#CTL{\n}下面就来说说我的注入过程：#CTL{\n}####1.输入and 1=1 页面页面正常，