08 2023 档案
摘要:访问靶场界面,发现并无明显注入点,注册个账号试试。 账号密码就随意写,能登陆就可以 然后登录进入后台 然后根据靶场提示,是在welcome.php处发现基于 Web 的测验系统 v1.0 通过 eid 参数包含一个 SQL 注入漏洞,于是第一反应就是在q=1这个参数进行尝试,但是发现没有结果 继续查
阅读全文
摘要:直接访问界面 因为说是sql注入靶场肯定要有注入点的,当前页面没有发现注入点,可以去扫一下后台 发现有管理后台,然后尝试去用sqlmap跑,但是一跑就崩了,只能想办法手工注入,然后用了一句话密码绕过 ' or 1=1 # 登录到管理后台 发现有上传点,而且还可以上传php类型的文件 直接上传一句话木
阅读全文
阅读目录(Content)
此页目录为空
