环境搭建

访问官网：https://www.vulnhub.com/entry/lampiao-1,249/

页面向下滑找到 Download 下载靶场；下载成功后，启动虚拟机，单击“打开”选项，找到刚刚下载并解压好的靶场文件，等待导入完成；

完成后启动靶机，可以看到只有一个登录窗口，此时靶机已经成功运行。

启动 kali 虚拟机，并同时设置两个机器的网络配置为 NAT 模式；

这样可以使所有的虚拟机共同处在一个独立的网段（和物理机不在同一个网段），方便后续探索靶机 ip 时更快的找到靶机 ip；

简介

文件上传本身是指一个功能，比如用户可以上传头像、上传资料等。如果能够上传文件，则可能存在文件上传的漏洞。

任意文件上传漏洞的产生需要满足三个条件：

1. 文件能被上传；
2. 文件能被服务器解析 (上传的文件能够被当作后端脚本处理)；
3. 能访问的到上传的文件，如果访问不到，则无法对文件进行控制，也就没有漏洞的说法。

简介

RCE漏洞，可以让攻击者直接向后台服务器远程注入操作系统命令或者代码，从而控制后台系统。因为需求设计,后台有时候也会把用户的输入作为代码的一部分进行执行，也就造成了远程代码执行漏洞。

简介

所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

数据类型

JavaScript 中可以把数据类型简单的分为基本数据类型和引用数据类型。

1. 基本数据类型的特点：直接在栈中存储数据。
2. 引用数据类型的特点：在栈中存储该对象的引用，真实的数据存放在堆内存中。