在某天平台的挖洞实战,习惯先用AWVS扫一波,自己手工再去挖,
AWVS还是很给力,扫出了几个注入点
sqlmap
看到两个参数都有注入点,任选一个,选择站点语言,看到获取到os-shell ,发现无法执行命令,选择另一种方法sql-shell
查看到某后台的登录管理员用户名
通过sql-shell 上传木马文件,拿到shell。
在某天平台的挖洞实战,习惯先用AWVS扫一波,自己手工再去挖,
AWVS还是很给力,扫出了几个注入点
sqlmap
看到两个参数都有注入点,任选一个,选择站点语言,看到获取到os-shell ,发现无法执行命令,选择另一种方法sql-shell
查看到某后台的登录管理员用户名
通过sql-shell 上传木马文件,拿到shell。