遇坑记录

双11买了腾讯的一个云服务器，暂时没有什么用处，索性搭建一个代理服务器玩一玩~

本文简要介绍了COM组件的劫持原理，展示了几种常见的劫持方法。

本文简要介绍了Windows的注册表以及自启动管理。

本文简要介绍了Windows的常见进程、目录树以及常用通配符介绍。

本文简要介绍了Windows的基本常识、基本概念以及重要的文件及目录。

学习任务

命令执行漏洞出现的比较少，通常出现在一些系统管理平台，方便运维使用，比如jenkins、zabbix，还有一些组件漏洞，比如反序列化漏洞等。

那么如何利用命令执行漏洞获得系统权限，通过命令执行漏洞上传文件呢？这个需要对系统命令有深入的理解和熟练的操作。

任务标题：WEB安全之上传漏洞

1、编写一个上传图片的功能页面

2、针对上传的文件进行验证（后缀验证、文件头验证、文件名验证等）

3、文件上传通常会与文件解析漏洞相结合，可以收集整理存在解析漏洞的组件和相关版本，无法部署相关环境，可以学习相关技术，不用实际操作

任务标题：Web 安全之 SSRF 漏洞学习实战

1、编写一个存在 ssrf 漏洞页面，思考造成该漏洞的函数有哪些

2、利用 ssrf 进行内网端口扫描（思考利用 ssrf 可以做什么，为什么）

任务标题：web安全之XSS漏洞学习实战

1、编写一个存在 xss 漏洞的页面

2、利用 xss 漏洞获取当前用户 cookie

3、思考，利用 xss 漏洞能干嘛（参考 beef）

报告要求：记录编写的页面代码、操作流程、思考总结

扩展学习：学习如何防御 xss、总结防御策略加到报告里