首先找到我们搭建的靶场,这里以172.16.1.88为例
应为我们不知道他的文件地址,所以我们可以尝试访问一下他的robots.txt,这是一个爬虫文件,可以帮助我们访问到目录
这样我们就得到了两个文件地址
访问第一个
无法访问,我们试试第二个
还是无法访问,那我们试试上一级文件
这里我们得到了一个框,在框中输入数据,有回显,说明这里存在SQL注入
接着我们打开kali,去扫一下文件夹下的文件
dirsearch -u 'url'
打开info.php
这里我们就得到了网站的绝对路径,那么SQL注入的两个先决条件我们就全部具有了
判断闭合
判断字段列数
写入木马
union select 1,'一句话木马',3 into outfile '网站的绝对路径'
我们可以查看我们写入的东西
接下来我们就可以进行连接
用中国蚁键进行连接
添加即可