1.首先要了解越权漏洞存在什么类型 平行 垂直 一般改post和get的传参方的参数来进行越权（id userid......)还有改cookie里面的数值 接下来是靶场演示： 首先演示平行越权： 这里首先创建L1和L2两个用户 然后在首页我们可以看到资料修改这行页面 这里我们先抓一个修

首先我们要知道 我们在dns注入时要利用dns.log的网站和load_file函数（用于文本文件的传参）不得用于php传参否则会拦截报错 步骤 1：首先判断注入点，可以看到这里我们执行的sql语句被执行生效了 所以可以判断这个网页存在sql注入 ![](https://nc0.cdn.zkaq.cn/md/14296/fd3a4c44930655e8e5

首先先nmap进行对整个网段的扫描得出靶机的ip然后用火狐看看这个网站都有些啥看到这个Drupal就很感兴趣 所以去网上百度搜索一下哦呦 搜出来这个还有关于drupal的远程代码执行漏洞直接去漏洞库查找一下有关drupal的bugSearchsploit drupal 7可以看出这里有sql 远程代码执行的漏洞（因为自己也只能看懂这些哈哈哈哈）这里直接上msf搜索相关的drupal的exp模块设置

所谓验证码绕过 最终目的就是绕过验证码那么绕过验证码有什么方法：直接抓包然后进行跑数据包，反正有没有验证码的阻碍（直接对用户名和密码进行爆破）验证码设置了但是并没有效验，乱输验证码也能够成功的登录（前提是用户密码要输对）验证码可以重复使用验证码空值绕过验证码会在HTML页面输出（F12说不定可以查询到）验证码有规则，比如是时间戳的后6位（rand函数进行随机数万能密码 000000可以直接绕过

这道题目需要自己添加头部 xff（X-Forwarded-For) 首先爆出库名为  然后再爆出表名 'or updatexml(1,concat(0x7e,(select group

这道题目的思路和第一题很像 但是这道题目需要换个“头部” 在Referer前输入查询语句即可  接下来的操作和第一题一模一样 所以这里就直接爆出flag了 ![](https://nc

思路：首先利用burp爆破爆出用户名和密码 得出  然后再利用burp对登录信息中的数据包进行修改：user-again 这里要利用到一个报错函数updatexml()爆出库名 表名 列名 不需要再判断回显和字段

思路：先闭合 再判断 再测试 （一） 这道题目需要用到“万能密码” 'or 1=1 注意：如果是1=2就会报错 因为1=2不符合逻辑 但是如果这道题目1=2不报错的话 那么这道题目就有可能要用到其他的注入手法（报错注入....） 这里我们还是老方法 通过order by 和 union select 爆出字段数和回显数 ![](https:

这道题目利用")与最后的--+起到首尾闭合  最后得出flag ![](https://nc0.cdn.zkaq.cn/md/14296/551597d18bcf2b3ffc185

这道题目再加上)起到前后闭合即可  最后得出flag ![](https://nc0.cdn.zkaq.cn/md/14296/3c46559995bbbd833533e4d71174d211_72