先看看倒霉蛋靶机的登录页面,寻找可能存在的参数,注入点等
URL地址不存在id等参数
接下来测试登录框
BP抓包,用SQLMAP以POST发送扫一下注入点
存在注入点
查库查表查当前用户是否root,爆出用户名密码
GO
寻找文件上传点挂马。
好的没有,使用SQLMAP --os-shell
接下来的操作懂得都懂。。。。。
微信扫一扫
先看看倒霉蛋靶机的登录页面,寻找可能存在的参数,注入点等
URL地址不存在id等参数
接下来测试登录框
BP抓包,用SQLMAP以POST发送扫一下注入点
存在注入点
查库查表查当前用户是否root,爆出用户名密码
GO
寻找文件上传点挂马。
好的没有,使用SQLMAP --os-shell
接下来的操作懂得都懂。。。。。
相关推荐