1.  第一次学到xlsx是由多个XML文件组成的首先将xlsx重命名为zip格式  打开拿到sheet1所在的xml2. 找到换行的规律 为<phoneticPr fontId="1" type="noConversion"/>  匹配字符串替换为 "\n"$sheetstring=preg_r

1. 前端html<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html

1. html页面<!DOCTYPE html><html><head>    <meta content="charset=UTF-8">    <title>QQ空间-分享生活，留住感动</title&

1.  右击菜刀中的链接  点击虚拟终端  执行cmd命令  发现没有权限2. 根据课程视频找到了cmd.exe  没有可以自己上传    我测试的时候发现目录中没有那个EXE文件  不知道被哪个兄弟删了  自己上传上去了右击cmd.exe  点击虚拟终端  执行whoami发现已经可以访

1. 上一题拿到了管理员的cookie   修改cookie直接登录管理员后台2. 上传转备好的一句话木马  上传cer类型文件    文件上传成功  拿到文件的路径3. 使用菜刀链接  输入路径与密码  选择脚本类型4. 找到站点目录 找到题目中的文件5. 双击打开文件  拿到flag

1. 对留言板进行xss  判断留言板中的主题输入框没有防护 存在xss2. 注册了一个xss平台  拿到js脚本  重新修改主题中的js脚本3. 拿到管理员cookie  拿到flag

1. 登录真实的后台  账号密码在上一题中已经拿到2. 页面做了来源限制  使用burp修改host与referer为本机  127.0.0.1   3. burp继续放行 拿到flag在本章学会了burp的的配置与初级使用

1. 打开新闻页面  测试是否可以SQL注入  http://120.203.13.111:8001/shownews.asp?id=171 and 1=1发现被阻挡2. 尝试通过cookie进行注入新闻页面内容正常显示  到此判断存在注入点3. 继续判断字段数为10个执行设置cookie： javascript:alert(document.cookie=&quot

1.  判断是否存在注入漏洞  分别修改链接并访问  http://120.203.13.111:6815/?id=1 and 1=1     http://120.203.13.111:6815/?id=1 and 1=2发现页面存在sql注入漏洞2.  判断字段个数  修改链接并访问 

1. 通过xss拿到了管理员的cookie2. 访问后台地址  使用burp修改cookie  发现登录不了3. 点击 Forward按钮之后没有登录成功  页面没有变化  请问哪里做的不对