#day13今日安排默写昨日作业讲解文件权限篇综合知识脑图特殊权限（了解）linux提供的12个特殊权限默认的9位权限rwxrwxrwx还有三个隐藏的特殊权限，如下suid比如/usr/bin/passwdsgidsbit特殊权限对照表类别suidsgidsticky字符表示

控制器文件：admins/controllers/login.gopackagecontrollersimport("github.com/gin-gonic/gin""github.com/gorilla/sessions""goadmin/common""goadmin/modes""net/http""os"

前言：管理员登录到管理后台后，显示管理员信息，修改管理员密码，退出登录功能正文：管理中心显示  个人信息页面： 修改密码页： 文件：admins/controllers/admins.go管理后台首页控制器后台首页，退出登录vardb=common.DB//后台首页funcAdminIndex(c*gin.Context)

前言：管理后台中间件主要作用，登录判断，获取管理员及权限信息，记录日志正文：文件：admins/middleware/adminMid.go//声明一个接收用户基本信息的结构体typeUserInfostruct{UserNamestringUserTrueNamestringAdminUidint}varuserinfo=&UserInfo{"",""

漏洞简介漏洞起源于前段时间比较火的小皮1-click漏洞，用户名登录处缺少过滤，导致可以直接构造恶意payload实现存储型XSS，结合小皮本身所具有的计划任务，XSS+CSRF实现了RCE。因为用户名登录处缺少过滤，所以可以尝试SQL漏洞。环境搭建windows上实际操作了一下，不方便进