没限制，直接蚁剑连接，密码cmd，虚拟终端执行ls /命令可查看根目录文件，发现flag_15199，然后执行命令cat /flag_15199即可得到flag [eval执行.png]

（1） {{__import__('os').system('命令')}} 返回值：返回命令退出的状态码，但不会返回命令的输出结果。输出会直接打印到标准输出，不会存到Python变量里用于后续代码处理 作用场景：执行命令的动作本身，不获取命令结果。(比如某道题只需要命令执行成功就行，完全不需要页面的结果)

GET传参，需要cmd参数，搭建在Windows输入Windows命令whoami

26/2XSS挑战

部分题目思路借鉴来源 一句话话木马基本形式

靶场链接：Port Swigger XSS

现在是对GEEKweb复现的初步整理(包含了复现步骤和少部分知识点，详细的知识点整理完后也会放到博客上)

?id=1 and 1=1 //没报错，正常，但1=2无显示，数字型注入 然后就差不多了跟第一关，只不过不闭合