停车场系统测试实况：全面评估与优化策略分享

正文：

1. 发现登录漏洞

在网络安全实战中，我们经历了一次以登录框为开局的攻击过程。首先，扫描目录未能发现未授权访问，但发现了一个SQL注入漏洞。经过多次尝试，成功利用SQL注入获取了管理员账号。

2. 利用SQL注入进行攻击

在获取管理员账号后，尝试登录系统，但密码错误。经过一番搜索，发现系统存在任意文件读取漏洞。通过利用该漏洞，成功读取了系统中的一些关键文件，包括上传功能的代码文件。

3. 利用任意文件读取漏洞

由于上传功能只支持xls格式，尝试绕过白名单，但无果。重新审查后发现了系统的任意文件读取漏洞，成功读取了系统上传文件的代码。通过查看上传代码，找到了文件保存路径和命名规则。

4. 利用SQL注入获取数据库权限

尝试使用SQL注入进行数据库攻击，获取数据库账号密码。成功获取到数据库账号密码，但数据库地址在内网。

5. 利用XXE漏洞和新账号探索

尝试利用XXE漏洞进行攻击，成功获取回显，但无法拿到shell。通过分析新账号的功能，发现它具有管理用户权限，但尝试上传webshell失败。

6. 探索其他功能点

对系统的其他功能点进行详细分析，包括查询、图片展示等。尝试以普通用户身份登录系统，但发现用户表中没有普通用户的账号信息。发现图片是由管理员导入的，但未找到可以利用的RCE点。

结语

网络安全攻防是一场复杂而精密的博弈。通过此次攻击实战，我们深入理解了SQL注入、任意文件读取等漏洞的利用过程。同时，我们也认识到了安全意识和对新漏洞的不断学习是网络安全从业者的必备素质。在未来的实战中，我们将继续提升技术水平，保障网络安全。