测试环境
靶机:billu_b0x 打开虚拟机后设为nat模式
攻击机:kali
信息收集
• 获取靶机ip
kali: nmap -sP 192.168.111.1/24(ip段根据实际情况自己更改)
获取到的信息:ip192.168.111.128
• 扫描开启的端口
kali: nmap -p1-65535 -A 192.168.111.128
获取到的信息:开放端口22,80
渗透测试
• 根据上面信息搜集得到的80端口开放可以直接访问网站
• 根据提升尝试进行sql注入攻击
测试语句:1' or 1=1 #
1' and 1=1 #
sqlmap: sqlmap -u “http://192.168.111.128” --data “un=admin&ps=admin&login=let%27s+login” --
level 3 --dbms mysql
测试结果都是try again 目前不知道过滤规则暂时放弃fuzz注入