前段时间，有一件事特别让我头痛：在查看或简单编辑图片时，我一直使用的都是ACDsee这个看图软件，小巧而快速。可是，windows10系统的图片默认打开方式是照片，我每次把图片默认打开方式修改成ACDsee后，没过多久，就被windows10系统偷偷改回去了，这使我非常不爽。百度了一下，才知道很多人都碰到过这种问题。

win10系统修改默认应用的错误方法。

以前，我修改文件的默认应用时，都是按照windows7的方法来操作的（以图片为例）。先用鼠标右键单击一个图片，这时会弹出右键菜单，点击右键菜单最底部的“属性”，这时会弹出属性窗口，如下图。

很多系统的后台会用一些本身存在注册功能，但是在后续正式使用的时候，开发人员为了图省事，仅仅删除前端显示的操作。也就是说该系统注册接口仍然存在，只是你在客户端无法找到而已。

案例

这是某系统的管理后台，除了我们所看到的以及HTML源码，js代码均为发现其他有效接口。

此时，我手动将login修改为reg，没想到中奖了。

一般来说我会尝试像reg、register、sign字段，这些字段直接记住手动测试即可，都没必要用字典跑了。

0x01 概要说明

文件上传漏洞可以说是日常渗透测试用得最多的一个漏洞，因为用它获得服务器权限最快最直接。但是想真正把这个漏洞利用好却不那么容易，其中有很多技巧，也有很多需要掌握的知识。俗话说，知己知彼方能百战不殆，因此想要研究怎么防护漏洞，就要了解怎么去利用。此篇文章主要分三部分：总结一些常见的上传文件校验方式，以及绕过校验的各种姿势，最后对此漏洞提几点防护建议。

原创不易，欢迎大家指导、评论。

在Linux应急处理中，find命令是快速定位异常文件的关键工具。本人结合日常工作中遇到的一些实例，总结一些用法如下：

前言

【一一帮助安全学习，所有资源关注我，私信回复“资料”免费领取一一】
①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

文件包含漏洞原理

通过PHP函数某些特性函数利用URL动态引入文件时，传入的文件名没有经过合理的验证，
从而操作了预想之外的文件，就可能导致意外的文件泄漏甚至恶意代码注入。
文件包含漏洞分为本地文件包含漏洞与远程文件包含漏洞，被包含的文件可以是各种文件格式，
当文件中包含恶意代码，就会形成远程命令执行或文件上传漏洞。

技术背景

在Linux系统中，