1.打开靶场，下载源码。用seay代码审计，找到变量覆盖的地方，发现是common.phpforeach，将我们输入的内容进行键值分离。2.看一下哪里包含了这个php，有个admin/login.php3.这里还调用了check.admin.php，我们看一下这个php，发现里面构造了session。其中groupid就代表我们的权限，1为管理员。4.于是我们想可不可以通过传参，构造一个管理员权限

1.我们知道IIS6.0在应用程序扩展中默认设置了.asa .cer .cdx 都会调用 asp.dll，于是我们自建一个图片马，抓包，然后把后缀改为.asaOK~上传成功2.IIS 6.0在处理含有特殊符号的文件路径时会出现逻辑错误，查找";"号,如果有则内存截断；查找"/",如果有则内存截断。例如test.asp;.jpg，test.asp/123.jp

1.%00截断：%00实际上我们要先了解0x00，0x00实际上是一个十六进制表示方式，实际上就是表示ascii码值为0，有些函数在处理这个字符的时候会把这个字符当做结束符，他们就读取到这里认为这一段结束了。首先看源码，发现它是先把save_path的值+随机数+年月日 来重新命名我们的文件。于是我们抓包，把save_path的值后面加一个123.php%00，这样它就会把文件重命名为123.ph

1.看了一下源码，发现是白名单，只允许".jpg|.png|.gif";的文件格式，通过抓包发现，是前端验证，那么我们自建一个php文件，改名为jpg，抓包：Content-Disposition: form-data; name="upload_file"; filename="huli.jpg"这里把后面的jpg改为php，放行，就绕

你们那些做出来的人，真是佩服啊~这个题对我这种小白太不友好了，问了老师才勉强做出来1.打开靶场，看一下CMS版本： DedeCMS_V57_UTF8_SP12.直接百度吧，漏洞神马的，这里找到一篇帖子：https://www.seebug.org/vuldb/ssvid-972103.里面原理讲了一大堆，大概意思就是说把语句写入inc文件，然后在其他的include语句中，包含了恶意代码

1.打开靶场，见缝插针，一顿乱差，<script>alert`qqqqqq`</script>，发现并没有什么卵用2.审查元素，发现了/3/比较可疑，源码如下：<script>document.write("/3/");</script>3.我们试试？传参，http://120.203.13.75:6815/3/?123这时页面成

1.打开靶场，首先查询一下CMS模版，类似信息收集嘛，我们往下拉，看到FineCMS公益软件 v5.3.02.百度一下相关漏洞，发现了一篇XSS靶场演练—FineCMS v5.3.0 存储型XSS漏洞的利用3.代码审计过程就不在这里累赘了，大概意思就是说变量在传递过程中没有进行安全处理，最后直接写入了log日志，管理员在查看日志的时候，会执行我们插入的代码。4.知道了原理，于是我们构建代码如下：h

1.打开靶场，既然是反射型XSS，那么我们直接输入<script>alert(qwe)</script>,然后审查元素，发现有两处，第一个是<h2 align="center">没有找到和<script>alert(qwe)</script>相关的结果.</h2>我们发现没有

1.打开靶场，由于本题是orecal注入，所以我们先闭合语句，用order by命令查询字段数输入：'order by 3-- 正常，4不正常，所以字段数为3.2.由于orecal里面有个dual表来满足查询结构，于是我们输入:'union all select null,null,null from dual--  来试一下，成功.。3.接下来我们去看一下，哪个注入点是

1.首先打开靶场，这是个MSSQL数据库，由于这道题是反弹注入，反弹注入需要我们自己数据库里建的表的字段数和我们要查询的数据所在表的字段数要一致，所以我们首先要确定我们要查询的数据（flag）所在的表的字段数，这里我们偷个懒，直接用MSSQL语句去查询一下，顺便练习了MSSQL语句的使用。输入'and 1=1-- 正常然后用order by命令，发现本表字段数为3输入'and 1=