文件上传解析漏洞验证代码：<?php phpinfo();?><?php @eval($_POST[value]);?>Pass-01通过js控制文件类型可直接修改文件后缀，将php重命名为jpg，但是文件不被解析，所以需要通过Burp抓包修改上传Pass-02Content-Type方式绕过http://120.203.13.75:8125/upload/1.phpPas

1、注册一个普通账号，然后查看工单查看cookie2、使用谷歌插件moderHeader修改Cookie，把里面的参数，admin改为1，shenfen改为1，UserID改为1，删除J0H，刷新页面

1、下载源码，用seay找到密码找回的php代码，通过源码查看到验证码使用的函数rand，取10-10000之间的随机数，使用Burp爆破

1、拿到靶场注册会员之后直接购买商品，选择商品数量直接修改为负数2、提交订单之后再在线充值的地方可以看到flag

打开靶场，doumicms，百度搜索下载源码使用seay进行代码审计因为这里是变量覆盖漏洞的利用，所以可以添加了一个匹配$$的规则：([^\$"]|$)\$\{?\$在系统配置的规则配置里面可以添加因为我们已经知道是那个文件可以直接打开文件搜索看一看使用这个变量覆盖需要满足的条件1.必须要有传参 2.正则匹配不能有cfg_和GLOBALS 3.不能有cookie某个值传参知道了

1、拿到靶场，反序列化漏洞，查看代码，会发现flag再当前目录下的flag.php文件中，但是显然是不能直接url访问拿到的。2、看到这段代码：todos从cookie内取出，指定名为c，h和m分别是前32位和32位之后的字符串，如果m的md5值等于h，就执行反序列化m，//$todos = [];if(isset($_COOKIE['todos'])){&nb

DOM型XSS其实也是反射型的一种看靶场，URL中的参数在页面有显示，查看页面源码：尝试构造这样的poc试试会不会弹框：http://120.203.13.75:6815/3/?23%3C/script%3E%3Cscript%3Ealert(123)%3C/script%3E//查看页面的源码，恶意插入的代码成功执行：接着根据提示查看dom.php文件的源码：再来假装分析下这个函数的作用：

拿到靶场，看到有个FINECMS，上百度搜：这个CMS存在两处存储型XSS：1、错误日志存储型XSS漏洞2、留言板存储型XSS漏洞A、首先根据第一种的分析:漏洞位置：D:\phpStudy\WWW\finecms\finecms\system\core\Codelgniter.phpCodelgniter.php当访问页面不存在的方法或对象时，会调用show_404方法，且该方法没有过滤html敏

这里用到的知识是html语言里面的oninput：当用户尝试在输入框中输入时会触发oninput函数后面的代码执行。然后看看我们的靶场的源码：框出来的代码中包含有我输入的字符串然后点击搜索之后会插入到input标签中，所以我们这里可以构造恶意代码：'oninput=alert(123) />//然后我们查看下源码：这里飘红我理解是HTML标签input没有正常闭合，但是这个是可以自动

首先这里用到的是MSSQL中的OPENDATASOURCE函数，我们先搜索下这个函数的相关资料：MSSQL:用opendatasource增删改查SQLSERVER要点：1、".dbo."这个不能少！2、用opendatasource方法时，不需要用sp_addlinkedserver提前建立链接数据库1、查select * from opendatasource('s