思维导图资料权限提升-linux提权手法总结.pdf链接：https://pan.baidu.com/s/1zTnG-xhx4NwsArY0H5SSHA?pwd=tzn2提取码：tzn2演示案例：案例 1-Linux 提权自动化脚本利用-4 个脚本两个信息收集：LinEnum,linuxprivchecker两个漏洞探针：linux-exploit-suggester linux-exploit-

文章目录思维导图基础知识XMLXXEXML 与 HTML 的主要差异DTDDTD 实体XXE 漏洞修复与防御方案-php,java,python-过滤及禁用方案 1-禁用外部实体方案 2-过滤用户提交的 XML 数据涉及案例：pikachu 靶场 xml 数据传输测试-回显,玩法,协议,引入玩法-读文件玩法-内网探针或攻击内网应用（触发漏洞地址）玩法-RCE引入外部实体 dtd无回显-读取文件ev

实际应用中右边方框中的漏洞，碰到的概率比较大！简要说明以上漏洞危害情况SQL注入危害1.攻击者未经授权可以访问数据库中的数据，盗取用户的隐私以及个人信息，造成用户的信息泄露。2.可以对数据库的数据进行增加或删除操作，例如私自添加或删除管理员账号。3.如果网站目录存在写入权限，可以写入网页木马。攻击者进而可以对网页进行篡改，发布一些违法信息等。4.经过提权等步骤，服务器最高权限被攻击者获取。攻击者可

思维导图何为AWD比赛中每个队伍维护多台服务器，服务器中存在多个漏洞，利用漏洞攻击其他队伍可以进行得分，修复漏洞可以避免被其他队伍攻击失分。一般分配Web服务器，服务器(多数为Linux) 某处存在flag (一般在根目录下)可能会提供一台流量分析虚拟机，可以下载流量文件进行数据分析;flag在主办方的设定下每隔一定时间刷新-轮各队一般都有自己的初始分数flag一旦被其他队伍拿走，该队扣除一定积分