记一次渗透算命站
群友制作了一个小网站,让我们进行测试,查找数据库或者服务器,谁能进去谁就赢,当时我心想,这个时候怎么能少了我呢,二话不说答应了,头一次在别人面前表演。。。。这种样式的站点我见过好多了,既然是测试,那就大胆的干!
第一步就不进行搜集了,这种数据库很明显就是MySQL,而且后台还是login那种,省略掉
————————————————————————
第一个思路:判断交互
打开登录页面,随便填个账号和密码
打开F12确定一下
点击登录以后提示重试,没错,这位群友真谨慎,居然设置了无论是管理员还是普通用户,报错时都是同一结果
很好,利用xss恶意代码进行一次伟大的“注入”
看来还是存在的,只是时间的问题
真相永远只有一个——名侦探柯南
xss过于麻烦后我放弃了,投入第二个思路
查找sql注入点
这里我采用了Acunetix扫描工具查找
又是令人激动的时候(会不会用看个人了)
尝试利用盲注的方式进行注入点查找
没错,这里我是手动注入
————
—————
——————
———————
苍颜不负有心人,终是开眼救我难
仅用了一步就找出了注入点
http://xxxxx.com/artview.php?id=1
连忙开启kali linux
打开sqlmap来一次自动注入
显然提醒数据库是MySQL>5.6
–tables --dbs #列出全部数据库和表名
接下来我就没有继续搞下去,毕竟只是测试,又不是和人家有仇,把结果发给他以后他感到非常满意~ 好好好好好好好好好好好好好好好好好顶 英国乐透8预测开奖 168开奖网结果
甚至是通向境外秘密地道的开挖起点。虽然这些碉堡采光差、改造难、形状别扭,但它一不要房租,二不用交税,自然会得到精明商人的青睐。1985年,一个叫卡那·达拉的人在海滩相中了一座能容数十人的子母大碉堡,将其改造成“碉堡酒店”。酒店里的布置有如军队食堂,服务员也都出身行伍,不但言行举止一派军人风度 1688
页:
[1]