该环境在内网搭建复现，主要在于学习安全攻防知识，切勿用于非法用途该系统开发在Q群和某论坛有公开低版本源码。低版本和本章内容有些小相似，低版本的用户数据和系统管理账号密码都是写入php，可以用文件包含写shell，但本章版本已经换成数据库写入。开始信息收集在开发者的Q群下载源码发现有测试管理员账号账号admin密码1111，账号1111密码1111，在这源码发现后门密码但在本章版本系统已经不适用

这里默认两行保存log是注释的，但赌管理员要是开了呢？这里没走be函数slog函数没过滤能写一句话、xss**log.htm可以访问**假如目标刚好也是nginx,CGI解析漏洞利用下~待更