Wophp靶场寻找漏洞练习
1.命令执行漏洞
打开网站划到最下,此处的输入框存在任意命令执行漏洞
输入命令whoami
2.SQL注入
搜索框存在SQL注入,类型为整数型
最终结果可以找到管理员账户和密码
3.任意文件上传漏洞
在进入管理员后台后,上传木马文件
访问该文件,验证是否上传成功
成功
4.文件包含漏洞
在“关于”界面中可以看到本页面是直接采用本地包含,尝试看看能否包含其他文件
在phpinfo中可以看到远程文件包含关闭,所以可以尝试去本地文件包含
如图所示,在命令执行漏洞处上传sxy1.php,本地文件包含该文件
5.xss漏洞
在登录界面用户名处存在xss漏洞
