pikachu之Unsafe Filedownload 抓包,看到下载文件的名字可控 源码是这样把输入的下载文件的名称进行拼接 准备几个不同位置的文件,使用该漏洞进行读取 pikachu目录下的password.txt www目录下的password.txt www 目录外的password,txt