当前位置: 首页 > article >正文

seafaring靶场渗透测试

1.sql注入漏洞

进来这里有个框

尝试xss没有那咱们就来试试搜索行注入

这里有东西说明闭合成功,接着就order by 有三列

三个地方都有回显

查看数据库

这里查表发现只有两个

先去看看admin先来看看列

然后看用户密码,这里密码直接显示出来了

2.文件上传漏洞

拿去登录看看里边有个上传文件的地方上传一个一句话木马上去

可以上传php

拿它给的地址去访问,成功访问到

拿去蚁剑连接成功

3.命令执行漏洞

下边有个框里边有个ls这里我直接点了个执行

结果就可以看到文件

输入whoami能显示

直接写入一句话木马 echo '<?php phpinfo();@eval($_POST[cmd]);?>' > sxy.php

然后访问

再拿去连接

4.文件包含漏洞

点关于弹出来about.php?file=header.php说明存在文件包含我们上边可以通过写入的phpinfo看到远程文件包含关闭

那只能用本地文件包含了,这里通过读取上边写入的木马文件来访问

这里上边连过了就不连了

5.xss反射型

来到登录页面两个框

先试上边的成功回显弹窗


http://www.kler.cn/a/307238.html

相关文章:

  • python: postgreSQL using psycopg2 or psycopg
  • 《MYSQL45讲》kill不掉的线程
  • 灰狼优化算法
  • 《情商》提升:增强自我意识,学会与情绪共处
  • C# 委托与匿名方法
  • DeBiFormer实战:使用DeBiFormer实现图像分类任务(二)
  • 【C语言】(指针系列2)指针运算+指针与数组的关系+二级指针+指针数组+《剑指offer面试题》
  • 重塑科普展厅魅力,以用户体验为核心的策略性规划新探索!
  • 『功能项目』切换职业面板【48】
  • php部署到apach服务器上遇到的问题
  • 萤石举办2024清洁机器人新品发布会 多维智能再造行业标杆
  • 2024.9.15周报
  • Kubernetes标签与标签选择器
  • 容器技术--Docker应用部署
  • Redis——常用数据类型List
  • C# 入坑JAVA 潜规则 大小写敏感文件名和类名 枚举等 入门系列2
  • 机器学习--神经网络
  • 【裸机装机系列】4.kali(ubuntu)-配置个人用户的sudo权限并进行bashrc的其他配置
  • Qt常用控件——QComboBox
  • Redisson分布式锁实现及原理详解
  • Visual Studio(vs)下载安装C/C++运行环境配置和基本使用注意事项
  • 深度学习之微积分预备知识点
  • HTTP 的请求方式有哪些和有什么区别
  • MATLAB 可视化基础:绘图命令与应用
  • C#笔记8 线程是什么?多线程怎么实现和操作?
  • Python精选200Tips:121-125