首先打开靶场查看源码通过分析，我们知道以下几点：    1.flag.php无法直接输出，我们要通过<li><?=$todo?></li>来输出我们的flag。    2.$todo其实就是$todos数组。    3.当md5($m) === $h时，$todos =&n

打开靶场进入PHPmyadmin在test数据库下面新建一个hack表  里面写个一句话木马爆出数据库的地址  然后构造payload根据easy代码审计  发现index.php  存在漏洞  构造payload并对 第二个?号 进行两次 URL加密  http://117.41.229.122:8010/lfi/phpmyadmin/

靶场使用了多米cms2.0。下载地址：https://www.duomicms.net/portal.php?mod=attachment&id=20使用seay代码审计工具去快速的找到危险函数，这里是变量覆盖的，所以特意自己加了一个匹配$$的规则：([^\$"]|$)\$\{?\$ 在系统配置的规则配置里面可以添加使用自动审计   开始自动审计通过seay审

既然是检查文件类型，拿出我们的图片马，WEB容器是根据后缀来识别格式的，我只要上传的文件后缀是.php就行打开靶场 上传图片马 并抓包  将后缀改为 .php上传成功后打开图片用菜刀连接  得到flag

打开靶场  上传图片马 并抓包  因为它是以get方式提交  所用可以在/upload/ 后面加截断符 %00打开上传的图片马  并去掉 ? 和后面的东西 就可以成功以 php 方式打开然后用菜刀连接并得到flag

首先打开靶场  上传图片马并抓包  改后缀名  添加::$DATA::$DATA  就是在不修改文件流的同时  生成一个文件   所以可以用::$DATA绕过7.php  和 7.php::$DATA  系统认为是两个不同的文件上传成功打开图片马用菜刀连接

IIS 6.0在处理含有特殊符号的文件路径时会出现逻辑错误，从而造成文件解析漏洞。这一漏洞有两种完全不同的利用方式：    test.asp;.jpg   他将当做asp进行解析  test.asp/123.jpg 他将当做asp进行解析首先打开靶场 上传文件并抓包  改文件名为  a.asp/7.jpg上传成功打开图片连接菜刀

IIS 6.0在处理含有特殊符号的文件路径时会出现逻辑错误，从而造成文件解析漏洞。这一漏洞有两种完全不同的利用方式：    test.asp;.jpg   他将当做asp进行解析  test.asp/123.jpg 他将当做asp进行解析首先上传图片马  并改名为 aaa.asp;6.jpg  上传时当成.jpg 文件&nbsp

IIS6.0解析漏洞（一）：    IIS6.0除了将ASP后缀当做ASP进行解析的同时，当文件后缀名字为.asa .cer .cdx 也会当做asp去解析，这是因为IIS6.0在应用程序扩展中默认设置了.asa .cer .cdx 都会调用 asp.dll首先这是一个 asp网站  使用的一句话为 <%eval request("zzz")

CGI 解析漏洞有一个逻辑问题  就是可以将上传的文件后面加一个 /.php  就可以让文件以php方式解析首先上传一张正常的图片图片上传成功先打开正常的图片  然后在后面加一个 /.php然后用菜刀连接  得到flag