01、题目分析反射型跨站脚本攻击本质上是构造恶意连接的形式，诱导用户打开，由于链接内所携带的参数会回显于页面中或作为页面的处理数据源，最终造成XSS攻击。02、xss这一题已经提示是反射型xss了，而且还有提示，可以注入的参数为name，所以直接在参数值中输入js代码即可?name=<script

01、题目分析存储型xss是将js代码存储在服务器端，当用户访问网页的时候，就会执行js代码，常见于留言板等功能模块02、xss这一题已经提示是存储型ss了，而且还有输入框，所以直接在输入框中输入js代码即可<script>alert(1)</script>可以发现js代码被成功执行了03、源码分析</form

01、题目分析DOM型比较与存储型不一样的是，存储型是将js代码存放在数据库中，而dom型是在客户端插入恶意代码，不涉及后端02、xss查看前端代码可以发现，有一个domxss函数，这段代码的作用是获取id为"input"的元素的值，并将其设置为id为"output"的元素的innerHTML属性所以直接在输入框

01、题目分析这一题就不是解题了，是教如何实现防范xss漏洞的，因此我们重点分析源码，是如何实现防范xss的02、xss按照第一关的xss方式去访问，可以明显发现没有出弹窗，而是把js代码作为文字输出到界面上03、源码分析<?phprequire_once'../header.php';?><html> <head> <titl

01、题目分析程序开发人员通常会把可重复使用的函数写到单个文件中，在使用某些函数时，直接调用此文件，而无须再次编写，这种调用文件的过程一般被称为文件包含。在包含文件的过程中，如果文件能进行控制，则存储文件包含漏洞file://读取本地文件，注意后面跟的是服务器绝对路径的文件02

01、题目分析程序开发人员通常会把可重复使用的函数写到单个文件中，在使用某些函数时，直接调用此文件，而无须再次编写，这种调用文件的过程一般被称为文件包含。在包含文件的过程中，如果文件能进行控制，则存储文件包含漏洞data://text/plain;base64，使用base64加密代码进行执行02、

01、题目分析文件上传的文件头过滤，题目中已经告诉我们了，我们已经知道了过滤类型，但是出于学习和判断的目的，那么我们还是得判断一下文件上传的过滤类型02、文件上传既然文件头过滤，直接在木马文件中加上文件头GIF98a，然后直接上传即可，如果有文件类型过滤，那么就像上一关一样更改下文

01、题目分析程序开发人员通常会把可重复使用的函数写到单个文件中，在使用某些函数时，直接调用此文件，而无须再次编写，这种调用文件的过程一般被称为文件包含。在包含文件的过程中，如果文件能进行控制，则存储文件包含漏洞02、文件包含这一题，emmm，没啥好说的，直接告诉答案了，在服务器的

01、题目分析文件上传的文件头过滤，题目中已经告诉我们了，我们已经知道了过滤类型，但是出于学习和判断的目的，那么我们还是得判断一下文件上传的过滤类型02、文件上传既然文件头过滤，直接在木马文件中加上文件头GIF98a，然后直接上传即可，如果有文件类型过滤，那么就像上一关一样更改下文

01、题目分析正常来讲应该先判断文件上传过滤是前端验证还是后端验证，但是这个地方因为是靶场，所以直接告诉你了是什么类型，因此就不用进行判断了，这里是.htaccess文件绕过，htaccess文件是Apache服务器中的一个配置文件，它负责相关目录下的网页配置。通过htaccess文件，可以帮我们

01、题目分析文件上传的文件类型过滤，题目中已经告诉我们了，我们已经知道了过滤类型，但是出于学习和判断的目的，那么我们还是得判断一下文件上传的过滤类型02、文件上传先用哥斯拉创建一个一句话木马命名为1.php然后尝试上传木马依旧是被拦截，但是这次burp抓到了数据包，说明是后

01、题目分析文件上传过滤类型，题目中已经告诉我们了，我们已经知道了过滤类型，但是出于学习和判断的目的，那么我们还是得判断一下文件上传过滤类型02、文件上传先用哥斯拉创建一个一句话木马命名为1.php然后尝试上传木马依旧是被拦截，但是这次burp抓到了数据包，说明是后端过滤

01、题目分析事实上，文件上传过滤是很正常的，需要自行判断是前端过滤还是后端过滤，一般上传木马的时候可以进行抓包，如果直接点击上传直接弹出禁止上传的界面，而没有抓到数据包，那就说明是前端js过滤，但是这个题目已经说明了是前端js过滤，就不用再测试了02、文件上传先用哥斯拉创建一个

01、题目分析二次注入的原理是先把sql注入语句存放在数据库中，然后第二次通过调用数据库的数据（提前放置好的注入语句），然后进行sql注入那么我们先将注册用户，将sql语句存放在数据库中，然后通过找回密码操作，数据库会自动调取数据库中的数据，就执行了我们的sql语句02、手工注入二次注

01、题目分析依旧是对等号进行了过滤，那么可以尝试一些等价值的内容来替换等号02、手工注入依旧是对等号进行了过滤，那么可以尝试一些等价值的内容来替换等号，比如like，rlike，regexp替换，id=1可以用idlike1以及id>0andid<2以及!(id<>1)进行绕过--查询行数?id=1order

01、题目分析大小写过滤顾名思义，会对正常小写的sql语句进行过滤，这个时候只需要大写sql注入语句即可02、手工注入关键词绕过顾名思义，就是将一些sql注入中会用到的一些关键词进行过滤，本关是将select过滤了，那就双写写成seselectlect?id=1orderby3--id=-1就是不显示内容?id=

01、题目分析：三大盲注中的报错型注入，02、sqlmap工具注入：一把梭python.\sqlmap.py-u"http://www.bdrwmy.cn:8001/sqli/05.php?id=1"--current-db--dump--batch03、手工注入：盲注，简单的来讲就是无论你输入什么内容，页面都不会出现错误提示，如果查询结果正确就显示类似

01、题目分析空格过滤就是将用户输入的空格过滤掉，众所周知，sql注入语句中会有很多的sql注入语句，如果进行了空格过滤，那么sql注入语句会因为参数连接在一快导致不能正常注入02、手工注入既然是数字型注入，那么对sql注入语句中的空格用其他内容替换即可，可以使用/**/、（）、%0a等等，我这

01、题目分析：三大盲注型注入中的布尔型注入，说明只会回显正确结果，错误结果将不再回显，对于布尔型注入，手工注入会费时费力，因此布尔注入比较适合工具注入02、sqlmap工具注入：一把梭python.\sqlmap.py-u"http://www.bdrwmy.cn:8001/sqli/03.php?id=1"--current-db--dump--ba

01、题目分析：三大盲注中的时间型注入，当查询语句正常的时候，不会有什么返回值或者回显，唯一的特征就是可以通过sleep函数来判断sql语句是否正确，也就是说，当有办法能判断输入语句是否正确的时候，步骤就和bool盲注一样了，话不多说，直接先让我们伟大的sqlmap跑起来02、sqlmap工具注入：一

01、题目分析正常来讲的字符型的sql注入，sql语句如下select * from news where id='$id';像这种就可以在注入的传参后面加上一个单引号，然后联合sql语句最后加上注释符--+就行，但是这个网站不行，因为在这个靶场的字符型注入的中的源代码，加入了宽字节过滤，所以正常的字符型注

01、题目分析数字型注入的sql语句select * from news where id=$id;最最最常规的，直接注入02、手工注入：先判断有多少列http://www.bdrwmy.cn:8001/sqli/01.php?id=1orderby3--id=-1就是不显示内容http://www.bdrwmy.cn:8001/sqli/01.php?id=-1unionselect1,2,