靶场实验总结范文图片 第1篇

经过下午测试，以及再次翻阅资料，我认为主要还是考虑到token一次一换的特性，Cluster模式交叉匹配时，那么即使账号密码正确，那么token值肯定已经变化过，从而达不到登录目的，那么选用Pitchfork模式是最合适的。

同时，选用Pitchfork又带来了一个问题，它的荷载是对应的，如果说第一个payload我设置五个账号，第二个参数设置为top100，第三个照旧设置token值，那么根据Pitchfork的特性只会匹配top5，如果放在真实环境里，这个工作量与可能性说实话撞库几率过小。（不明白同学看下面三张图，如若还不懂就动手做做)

靶场实验总结范文图片 第2篇

pikachu靶场伴我两年半，期间除去一年时间用来学习网络，总体来讲学习网络安全花费一年半左右，越是学习越是认识到网络安全不是一个一年两年能够有所建树的行业，期间走过不少弯路，耗费很多时间，直到现在也未登堂入室，仍然小白一个，挺有感触。

本篇文章其一是给pikachu画上句号，其二是给想要学习的童鞋留下文档。剩下的就是按照方向去扩展，学习xss要懂js，学习sql注入要懂数据库，学习反序列化要懂php，学习xxe要懂xml，只有说这样才能成长深入原理而不是成为一个只会敲payload的废物，不懂js不讲xss，不知数据库不论sql注入，保持对知识的敬畏。

人总是在慢慢成长，我要偷偷学技术，悄悄卷死所有人，与君共勉。

本篇文章断断续续写了一周左右，难免错误与不足之处。

靶场实验总结范文图片 第3篇

字符型注入'，发现报错存在注入点，并且出现%

构造闭合a%' order by 3#