其实这道题之前做的时候，由于没有发Writeup的关系，所以可能忽略了一些问题以为自己懂了，等要写Write up了，发现要把审计流程讲明白真的不是很容易。尤其视频里讲的条理性也不清晰。自己也好好看了代码，结果发现这道题，从登陆验证的绕过，到后面进一步的get shell，根本跟变量覆盖没半毛钱关系的呢（希望被打脸哈哈）。。首先在本地搭建好环境，该靶场用的是 多米CMS 2.0。先直接访问后台：h

访问靶场地址：填点东西，提交表单：点击超链接“Check Code”，页面上打印出了 index.php 的源码：来分析下代码。首先看HTML的部分，其中会通过php的foreach循环来遍历$todos遍历的内容，并以无序列表的形式显示在页面上。然后看一下表单处理的部分，首先获取textarea提交的文本，存储到数组变量 $todos 中，然后对 $todos 进行序列化并存入变量 $m中，再对

这次的靶场是 semcms v2.7，先在本地搭建好环境进行测试：访问后台登录页面如下：先来看看正常的找回密码的过程。首先，查看 tfmp_Admin/index.html 的源码：从代码可以看到，当点击登录按钮旁边的链接“如果忘记账号与密码，试试找回？”，时，会执行 js的views() 函数，该函数是弹出一个对话框并向SEMCMS_Remail.php?type=find 发送请求，

支付漏洞属于逻辑漏洞，一般也只能做黑盒测试。要挖掘这类漏洞，需要将思维发散，就是不要按常理出牌。这样就有可能找到程序员疏忽的地方。进入靶场，点击某个商品，购买数量输入1，点击购买：然后填写订单信息并提交：提示余额不足。在此可以猜测程序是否是： 余额 = 余额 - 需付金额数。如果需付金额没有考虑负数的情况的话，那么余额就会变多。因此，可将购买数量改为负数来测试：结果居然提交成功：去会员中心查看余额

本地搭建 phpMyAdmin v4.8.1 的环境。既然是审计文件包含漏洞，那么我们只需要关注 include()、include_once()、require()、require_once() 这4个函数即可。用Seay审计工具查找一下：搜索的结果中，我们重点关注 include 包含的文件是可控的条目，其他include 固定文件的可以先忽略。如上图，index.php 文件中有一处包含的文

首先访问靶场：其中发现当前路径显示在了页面上，于是尝试在url中加入参数再访问：也将请求参数显示在了页面上再继续用测试，这次添加尖括号：也显示在了页面上，于是添加js语句进行测试：结果弹框了，很好。然后查看一下dom.php的源码，主要代码如下：代码首先获取GET请求参数url的值，然后将其进行URL解码，判断url链接来源，如果符合条件，则进行xss敏感输入过滤，过滤好后将该URL拼接到一个if

这题的靶场是 FineCMS v5.3.0然后通过搜索找到FineCMS v5.3.0 版本的XSS漏洞的分析并复现的文章。具体的代码分析可参考链接：https://www.freebuf.com/column/165269.html可以将FineCMS v5.3.0 的源码下下来，结合代码分析一下该漏洞，同时在本地搭建环境进行漏洞复现。简单来说，就是可通过构造URL，让后台生成错误日志，而后台对

首先在编辑框输入 1，提交：再尝试输入 1" ，提交：结果发现1后面的双引号并没有将value属性的双引号闭合，而是被转义输出了。再尝试输入 1'，提交：结果发现单引号可以起到闭合前面的作用，看来有戏。然后输入 ' onclick=alert(1) ，提交后，点击编辑框，并没有弹框，再查看元素：发现 alert(1) 后面还有个单引号，这里加入注释符号试试：于是再输入&n

这题其实是用Dedecms 5.7版本的文件包含漏洞，来进行CSRF的利用.漏洞出现在 /dede/sys_verifies.php 文件中，来看代码：如上图，当请求参数action的值为"getfiles"时，程序会在 /data 目录下生成文件 modifytmp.inc 并写入内容，而写入的内容是我们可以控制的，可通过添加GET请求参数refiles来控制。要想利用这个

直接访问：http://120.203.13.75:8123/ssrf/typecho-1.0-14.10.9-release/index.php/action/xmlrpc页面提示如下：提示信息告诉我们，该URL访问的是一个xmlrpc服务，但该服务只接受POST请求。因为这里可以通过xmlrpc来对外发起网络请求，所以这里也存在SSRF漏洞。关于xmlrpc请求为什么会存在SSRF漏洞：（详见