3.登录普通用户，用web开发者工具来查看一下pikachu的cookie，将pikachu的cookie放到我们刚刚repeater的地方，修改一下添加用户的信息，，send后查看我们pikachu能看到的用户表，这样我们就实现了垂直越权。简单说，就是没把“当前登录用户”和“要查询的用户”做权限绑定，导致任意用户能查别人信息，修复需增加“登录用户与查询用户一致”的校验。- 定义：指不同级别用户之

1.分别点击一下we're jarheads和Truman's word!观察url的变化，发现我们访问的内容是由title参数传递的，那我们就可以随意的构造url后面的参数去查看其它的文件了，但是这里有一个问题，这个靶场在我们的本地，我可以知道路径，那如果我不知道呢，只能慢慢手动尝试了吗？除了这样还有什么其它获取文件夹下文件的信息吗？2.可以通过报错的信息了解到目录的信息。

当%DF （单字节）与%5C （单字节）相邻时，GBK 会将两者视为一个双字节汉字（即%DF%5C对应汉字“連”的编码，示例中可能为其他字符，取决于编码表）。-%df'被转义为%df\' （ addslashes()添加\ ），此时十六进制字节为%DF%5C （ \的十六进制是%5C ）。输入id=-1%df' （ %df是十六进制字节，GBK 中代表半个汉字，需与后续字节组合成完整字符）。- 漏

我们先登录，用户名/密码为admin/123456,登录后在输入框中以同样的方式输入js代码，submit后会显示一个弹窗，观察url，发现我们的url中没有显示出我们构造的js代码，所以当我们再次访问这个网址的时候不会像get型那样再次显示弹窗。其实这里还有一点关于cookie的内容，但是我一直获得不了cookie的数据，我的xss后台已经配置好了，可能是我还没有弄清楚post.html和coo

若服务端用 curl 处理用户可控的 URL ，攻击者可构造dict://127.0.0.1:3306 （探测 MySQL 端口 ）、 gopher:// （构造复杂协议请求 ）等，借服务端权限扫描内网端口、攻击未暴露的内网服务（如Redis未授权访问配合 curl 可写 Webshell ）。- curl ：一套开源的网络请求库/工具，支持 HTTP、HTTPS、FTP 等多种协议，常被编程语言

alert("xss")

一是在上传环节，前端验证易绕过，后端对文件类型、格式检测不严格，像仅靠文件后缀或MIME类型判断，攻击者能通过改后缀、伪装类型等骗过检测，上传恶意脚本文件（如.php ）。二是在解析环节，Web服务器（如Apache、IIS等 ）存在解析规则漏洞，会把恶意文件名误当成可执行脚本解析，或者攻击者能利用.htaccess文件篡改解析规则，让恶意文件得以执行。1.提示我们只能上传图片，先上传一个非图片文

查表名：' or updatexml(1,concat(0x7e,substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,31),0x7e),1) or'-当前数据库名Eira' and updatexml(1,concat(0x7e,(selec

4.利用单引号没有被转换为html实体构造payload(我现在觉得这两种方法都是一个道理，构造这个payload,submit后，我们需要点击一下下方出现的内容，本质上还是利用了herf属性。在HTML中，一些特殊字符会被转换为HTML实体，以便在页面中正确显示而不被解析为HTML标签。1.输入框输入内容，要包含单引号和双引号，帮助我们判断怎么构造payload。这样的话我们利用的是与DOM型x

alert("xss")</script>,但是没有出现弹窗，观察回显内容可知，我们输入的js被过滤了。--test--> ript> alert(14)</scr <--test--> ipt>重写: <scri<script> pt> alert(14)</scri