本文记录了一次渗透测试经历,目标是一个算命网站。通过观察和测试,发现网站使用了MySQL数据库,并存在SQL注入漏洞。利用Acunetix扫描工具和手动方式找到了注入点,最终使用sqlmap进行自动注入,揭示了数据库信息。由于只是测试,所以在找到关键信息后停止了进一步操作。
群友制作了一个小网站,让我们进行测试,查找数据库或者服务器,谁能进去谁就赢,当时我心想,这个时候怎么能少了我呢,二话不说答应了,头一次在别人面前表演。。。。
这种样式的站点我见过好多了,既然是测试,那就大胆的干!
第一步就不进行搜集了,这种数据库很明显就是MySQL,而且后台还是login那种,省略掉
————————————————————————
第一个思路:判断交互
打开登录页面,随便填个账号和密码
打开F12确定一下
点击登录以后提示重试,没错,这位群友真谨慎,居然设置了无论是管理员还是普通用户,报错时都是同一结果
很好,利用xss恶意代码进行一次伟大的“注入”
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
