进入靶场，在点击check code发现存在readme.txt文件得知在当前目录下有个无法直接读取的flag.php这里是后面最终需要的解题方法，即cookie传参todos=???这是todos的结构todos=$h.$mtodos=md($m).$m 在cookie传参满足这个的时候，$m会反序列化，也就是说要通过构造$m字符串通过反序列化生成执行目标函数的语句来读取flag.ph

靶场：rootroot进入，创建一个数据库，一个表，将表中的字段名改为一句话然后通过包含该数据库、表的frm文件来执行语句，因为frm文件中会有该表的信息，其中就有字段为一句话木马的字符串这样包含该文件就可以使里面的一句话木马执行通过select @@datadir可以查出数据库路径也就是说，只要能够包含该文件，就可以读取一句话木马。在进行文件包含传参的时候，路径 通过代码审计查询inc

靶场：使用seay进行代码审计 查找$$字符，筛选出能够进行直接传参的地方，发现$$_REQUEST可通过GET,POST,COOKIE来进行传参并覆盖变量，这是一个点，那么继续找找从这里突破的可行性$_REQUEST传参可以顺利传到吗，有什么过滤条件呢？ 从这里，在上段可变量覆盖的代码上方存在对$_REQUEST传参的判定。规定传参的长度大于0，不能有cfg_和GLOBALS

包含全pass，请使用ctrl+f进行网页搜索靶场对应各pass：IIS6.0解析漏洞（一）——Pass-20IIS6.0解析漏洞（二）——Pass-21IIS6.0解析漏洞（三）——Pass-22CGI解析漏洞——Pass-23非法字符截断上传 — Windows NTFS ADS流——Pass-08非法字符截断上传 — 空格 %0A 点——Pass-11HTTP HEAD MIME验证——Pa

靶场开头的提示给了一些信息，首先是一个dom.txt文档，里面包含了dom.php的语句，观察后可知道提交的url参数必须带有靶场的url地址，即在同一文件目录下，这个没啥用不重要，目测只是为了共用的靶场环境不乱套而已。然后在课上老师扔出了很重要的一个东西：log.html，这个在靶场开头是没有说明的，这个如果细心的话可以在dom.txt文件中底下的代码处发现。而我们真正要搞的地方是在这，这个页面

首先，在靶场开头很明示地说了一句后台管理员密码是admin123，这生怕猜不到管理员账号密码是吗，太贴心了 既然都已经这么盛情邀请了，那就去后台页面猜一猜管理员账号密码吧~ 管理员后台：http://117.41.229.122:8010/csrf/uploads/dede/login.php 登录管理员成功登录后我的思路是，我csrf我自己，现在我已经是管理员了，我

靶场： 通过老师上课给出的网址链接的漏洞发现，这道题是使用了网站找不到页面404的后台报错日志中插入xss语句，使得管理员在后台查看日志（点击进去）时被攻击，然后我们的xss平台就能够获取目标cookie。在留言板直接xss给了我这么一个东西，好像没啥用然后看看url中有啥有两个参数，那两个都X一下试试 先来C参数： 直接把我的/全过滤了…………狠到页面都不显示了，真

首先，进入靶场，先直接插入试试看似只有上面黑体字有输出，但是其实框内也是一个隐蔽的输出点，因为它直接显示了而没有被清空。F12看一下代码：上面黑体字的代码看上去好像很正常，但是为什么没有弹窗呢，在这里右键查看HTML代码就会发现我的<>被吃了……这里看来是没办法了，应该是没有单双引号辅助闭合又过滤了<>能再看看下面的输入框：看上去可以搞事，可能是因为在引号里面吧那这里先尝试

靶场： 直接order by一下，报错，看来前面是要闭合的（可能id为char） 看来这里是单引号闭合，出来了社会主义核心价值观英文版还行。。。 好，order by 到4 的时候报错了，说明有3个字段 在null后加上'或者"可以尝试它是不是char类型，如果报错就说明不是字符串类型，有可能是int，也有可能是二进制类型等乱七八糟的类型。

首先，对于MSSQL数据库，有几点要和MYSQL区分一下1、注释  --显错注入：2、select 1,2,3是不行的，要使用select null,null,null3、查系统库名的时候的语法不一样查询系统表：4、查表名时，where xtype='U'，意思是用户创建的而非系统自带的。在系统表中(上一步有，通常是不会改的），有ID和name，name就是表名5、查字段