pikachu

Pikachu靶场——跨站请求伪造(CSRF)还可以参考我的另一篇文章：跨站请求伪造(CSRF)全称Cross-site request forgery，翻译过来就是跨站请求伪造，是指利用受害者尚未失效的身份认证信息（cookie、会话等），诱骗其点击恶意链接或者访问包含攻击代码的页面，在受害人不知情的情况下以受害者的身份向（身份认证信息所对应的）服务器发送请求，从而完成非法操作（如转账、改密码等）。CSRF与XSS最大的区别就在于，CSRF并没有盗取cookie而是直接利用。

Pikachu靶场——SQL注入漏洞在owasp发布的top10排行榜里，注入漏洞一直是危害排名第一的漏洞，其中注入漏洞里面首当其冲的就是数据库注入漏洞。

Pikachu靶场——文件上传漏洞(Unsafe upfileupload)漏洞描述文件上传是Web应用必备功能之一，如头像上传，附件分享等。如果服务器配置不当或者没有进行足够的过滤，Web用户就可以上传任意文件，包括恶意脚本文件，exe程序等等，这就造成了任意文件上传漏洞。

Pikachu靶场——XXE 漏洞可参考我写另一篇文章： XXE 漏洞及案例实战漏洞描述XXE（XML External Entity）攻击是一种利用XML解析器漏洞的攻击。在这种攻击中，攻击者通过在XML文件中插入恶意实体来触发解析器加载恶意代码或文件，从而执行任意代码、读取本地文件等操作。

过期的秋刀鱼-

../../ 目录遍历在web功能设计中,很多时候我们会要将需要访问的文件定义成变量，从而让前端的功能便的更加灵活。

过期的秋刀鱼-

Unsafe upfileupload文件上传功能在web应用系统很常见，比如很多网站注册的时候需要上传头像、上传附件等等。当用户点击上传按钮后，后台会对上传的文件进行判断

pikachu中RCE出现乱码的解决的方案输入127.0.0.1这种乱码的解决办法就是在pikachu/vul/rce/rce_ping.php目录里面的第18行代码