Vulnerability: File Upload(low)--MYSQL注入

已于 2023-12-23 14:34:37 修改
阅读量458 收藏 9
点赞数 9
分类专栏: SQL注入 文章标签: mysql
于 2023-12-08 08:57:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XiaoYeZhu_1314/article/details/134868866
版权

选择难度:

1.打开DVWA,并登录账户

2.选择模式,这里我们选择 文件上载的最低级模式(low)

在vsc里面写个一句话木马

这里我们注意,因为这个是木马很容易被查杀,从而无法使用,所以我们要进行以下步骤:

设置->病毒和威胁保护->“病毒和威胁保护”设置,点击管理设置->翻到最下面,找到“排除项”-点击添加或删除排除项

下载中国蚁剑(设置空目录要设置在antSword-master下)

获取DVWA的地址

1.在Vulnerability: File Upload页面上传“一句话木马.php”

这个就是上传路径,../表上一级目录

将这个粘贴到,再获取他的地址

2.打开蚁剑,右击鼠标

小野猪都有白菜拱
关注
  • 9
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
OSCP Learning Notes - Privilege Escalation
weixin_30642561的博客
07-29 3818
Privilege Escalation Download the Basic-pentesting vitualmation from the following website: https://www.vulnhub.com/entry/basic-pentesting-1,216/ 1.Scan the target server using nmap. nmap...
Nginx-Remote-Integer-Overflow-Vulnerability:CVE-2017-7529
04-13
Nginx远程整数溢出漏洞 CVE-2017-7529
新手指南:DVWA-1.9全级别教程之File Upload
weixin_50464560的博客
03-19 402
目前,最新的DVWA已经更新到1.9版本(http://www.dvwa.co.uk/),而网上的教程大多停留在旧版本,且没有针对DVWA high级别的教程,因此萌发了一个撰写新手教程的想法,错误的地方还请大家指正。 DVWA简介DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。DVWA共有十个模块,分别是
DVWA通关详解
weixin_45808483的博客
11-19 3461
Vulnerability: Brute Force Security level is currently: low. 分析源码: 没有做身份验证 <?php //检查变量是否设置(先看有没有Login参数) if( isset( $_GET[ 'Login' ] ) ) { //获取密码,存入pass变量中 $user = $_GET[ 'username' ]; //获取密码 $pass = $_GET[ 'password' ]; //将密码使用md5加密 $
【工具-DVWA】DVWA渗透系列一:Brute Force
qqchaozai的专栏
10-17 5323
前言 DVWA安装使用介绍,见:【工具-DVWA】DVWA的安装和使用 本渗透系列包含最新DVWA的14个渗透测试样例: 1.Brute Force(暴力破解)2.Command Injection(命令注入)3.CSRF(跨站请求伪造)4.File Inclusion(文件包含)5.File Uploa...
DVWA通关--SQL盲注(SQL Injection(Blind))
箭雨镜屋
07-11 1866
LOW 通关步骤 代码分析 MEDIUM 通关步骤 代码分析 HIGH 通关步骤 代码分析 IMPOSSIBLE 代码分析
AWS SAP-C02教程11-解决方案
代码还是得自己扣
10-28 1348
AWS SAP-C02教程11-解决方案
DVWA(low)
筱阳的博客
11-24 708
Brute Force   第一个是暴力破解   首先看看源代码   &lt;?php if( isset( $_GET[ 'Login' ] ) ) { // Get username $user = $_GET[ 'username' ]; // Get password $pass = $_GET[ 'password' ]; $pa...
2021-02-03dvaw与杂记
探针一号的博客
02-04 248
File Inclusion Vulnerability: Insecure CAPTCHA dvwa不能正常显示,需要在配置文件中加入谷歌的密钥: $_DVWA[ ‘recaptcha_public_key’ ] = ‘6LfX8tQUAAAAAOqhpvS7-b4RQ_9GVQIh48dRMGsD’; $DVWA[ ‘recaptcha_private_key’ ] = '6LfX8tQUAAAAAIR5ddYvRf3zNqM-k__Ux73oZzb’; ...
msf-show
weixin_30548917的博客
01-15 2873
Metasploit框架中包涵数百个模块,没有人能用脑子把它们的名字全部记下来。在MSF终端中运行show命令会把所有的模块显示出来,也可以指定模块的类型来缩小搜索范围。 1. msf > show exploits Exploits ======== Name ...
System-Vulnerability:自2019-10-16以来系统突破合集
03-11
系统漏洞 实时更新更好用最新突破EXP,完全已授权渗透测试使用 视窗 Linux
Gamja : Web vulnerability scanner-开源
04-24
Gamja将发现XSS(跨站点脚本)和SQL注入弱点,以及URL参数验证错误。 谁知道哪个参数是弱参数? Gamja将有助于发现漏洞[XSS,验证错误,SQL注入]。
trivy-db-to:trivy-db-to是用于将漏洞信息从Trivy DB迁移到其他数据源的转换工具
03-06
$ trivy-db-to mysql://root:[email protected]:3306/mydb Fetching and updating Trivy DB ... 19.35 MiB / 19.35 MiB [--------------------------------------------------] 100.00% 2.58 MiB p/s 8s done ...
CVE-2020-11651:CVE-2020-11651
04-15
CVE-2020-11651 在2019.2.4之前的SaltSalt Salt中发现了一个问题,在3000.2。之前的3000中发现了一个问题。 盐主进程ClearFuncs类无法正确验证方法调用。... [--execute COMMAND] [--upload src dest] [--dow
MYSQL 视图/存储过程/触发器详解
lIujunXHU的博客
05-17 1115
视图(View)是一种虚拟存在的表。视图中的数据并不在数据库中实际存在,行和列数据来自定义视图的查询中使用的表,并且是在使用视图时动态生成的,视图的主要目的是简化复杂的SQL查询,提高数据访问的安全性,以及隐藏数据的复杂性。。通俗的讲,视图只保存了查询的SQL逻辑,不保存查询结果。所以在创建视图的时候,主要的工作就在于创建这条SQL查询语句上。存储过程是事先经过编译并存储在数据库中。
【MySQL精通之路】管理和实用程序
最新发布
Anakki的博客
05-19 173
8 mysql_migrate_keyring——keyring密钥迁移实用程序。2 innocchecksum——离线InnoDB文件校验和实用程序。7 mysql_config_editor——mysql配置工具。9 mysqlbinlog——用于处理二进制日志文件的实用程序。6 myisampack——生成压缩的只读MyISAM表。4 myisamchk——MyISAM表格维护实用程序。5 myisamlog——显示MyISAM日志文件内容。3 myisam_ftdump——显示全文索引信息。
MySQL--增、删、改、查,
weixin_65476290的博客
05-15 941
数据库的概述、发展、现状、历史、分类MySQL关系型数据库、架构(C/S)window系统安装MySQL数据库Linux系统【选学】数据库对象——数据库(database)show、create、drop命令数据库对象——表(table)数据类型数据库表的约束表结构的调整(alter)数据库授权和权限管理(grant)数据库的编码情况【编码一致,建议统一采用utf8mb4】
js遇到需要正则匹配来修改img标签+清除行内样式
阿乐的博客
05-14 323
遇到特殊的情况就是自带样式,那么方法一就不能用了,因为只会算是从原有字符串上面多加字符串。这个正则表达式就是匹配所有的。//踩坑完毕,可以直接使用。第二行代码按自己需要改改。
Vulnerability classifications CWE-16: Configuration CWE-436: Interpretation Conflict CAPEC-63: Cross-Site Scripting (XSS)表示什么
06-09
这段文字列出了三种安全漏洞分类: 1. CWE-16: Configuration,即...3. CAPEC-63: Cross-Site Scripting (XSS),即跨站脚本攻击,指的是攻击者通过在网页中注入恶意脚本来窃取用户信息或执行其他恶意操作的攻击方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小野猪都有白菜拱

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值