任务一
学习windows和Linux命令,这个东西实在是多,只能是每天安排点任务,就像背英语单词似的。更难记一些以后遇到了多查询,能看懂,毕竟日久生情吗。。。
任务二
完成dvwa的第二个模块command execution(命令注入)。在做不同级别的命令注入时,首先要看看它的源代码,有没有什么加密的手段来进行命令的过滤,例如这次做的黑名单模式,把能够用到的简单的符号,例如"&" “|”,这些改为“ ”,这样在你进行命令注入时将他所有包含的黑名单中的符号进行改变,以防止命令注入。
这里面利用了三种不同格式的命令注入分别对应不同的屏蔽模式。
- command 1&&command 2 先执行command 1在执行command 2。
- command 1&command 2 这里的“&”先执行Command 1,不管是否成功,都会执行Command 2。
- command1|command 2 将Command 1的输出作为Command 2的输入,并且只打印Command 2执行的结果。
任务三
php弱类型
=== 就是在进行比较的时候,会先判断两种字符串的类型是否相等,再比较
== 在进行比较的时候,会先将字符串类型转化成相同,再比较
"admin"==0
比较的时候,会将admin转化成数值,强制转化,由于admin是字符串,转化的结果是0自然和0相等。
这些东西的学习看起来很简单,但真正应用起来去理解php代码的时候还需要更扎实的基本功去理解代码中不同语法所代表的涵义去通过php弱类型去绕过漏洞,达到自己的目的。
任务四
这次的题目明显比上次要难一些,尤其是Jarvis OJ web的题目,更需要把自己所学的灵活运用,融会贯通了去思考,在做题的过程中,显然我提这个要求还有很大的距离,相信自己在日后的学习中能够越来越灵活,真正用到所学、去独立完成一个个难题。