Sql注入点攻击

最新推荐文章于 2023-10-16 21:04:28 发布
最新推荐文章于 2023-10-16 21:04:28 发布
阅读量1k 收藏 7
点赞数 1
文章标签: sql 数据库 database
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58713554/article/details/122083005
版权

访问WebServ2003服务器场景,"/"->" Display Uploaded's File Content",分析该页面源程序,找到提交的变量名,并将该变量名作为Flag(形式:name=“变量名”)提交;

访问后利用万能用户名进入场景

进入后查看网页源代码查看变量名

Flag:name="filename"

对该任务第一题页面注入点进行渗透测试,通过php://filter协议使当前页面以Base64编码方式回显WebServ2003服务器场景访问日志文件:AppServ/Apache2.2/logs/flag.log的内容,并将注入语句作为Flag提交;

用户名先随便输入一个

得到结果后把1删除掉

目让以以Base64编码方式回显WebServ2003服务器场景访问日志文件:AppServ/Apache2.2/logs/flag.log的内容加入语句php://filter/read=convert.base64-encode/resource=/AppServ/Apache2.2/logs/flag.log

将注入语句作为Flag提交flagphp://filter/read=convert.base64-encode/resource=/AppServ/Apache2.2/logs/flag.log

该任务第二题页面注入点进行注入以后,将当前页面以Base64编码方式回显内容作为Flag提交

Flag:V2l0aCBncmVhdCBwb3dlciBjb21lcyBncmVhdCByZXNwb25zaWJpbGl0eS4=

通过PHP函数对题目3中Base64编码回显内容进行解码,并将解码内容作为Flag提交;

将这一串进行Base64进行解码

 Flag:With great power comes great responsibility.

 

 

 

 

 

 

 

.摘星
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
2023年中职组网络安全-B模块-Web应用程序文件包含(环境+解析)
m0_46056107的博客
06-02 213
4.对页面注入进行渗透测试,通过php://filter协议使当前页面以大写明文方式回显Server2233服务器场景C盘根目录flag.php内容,并将注入语句作为Flag提交。2.访问Server2233服务器场景并通过万能用户名、任意密码登录,析登陆后列表页面(list.html)的源代码,找到源代码中隐藏的flag并提交;5.利用远程文件包含向服务器写入名为admini.php密码为test的一句话木马,将包含时的文件内容作为flag提交;服务器并访问其网站内容,在首页中找到隐藏在源码中的。
P8A110-A120经典赛题
最新发布
明裕学长的博客
11-28 904
设置字典路径设置目标ipFlag:5运行python脚本Flag:81填写靶机服务器的ip地址运行python脚本Flag:Open。
2021年武汉市中等职业学校学生技能大赛“网络空间安全”赛项技术规程
旺仔Sec&blog
10-19 4023
5. 当"/"->" Employee Message Board"->"Display Message"页面的访问者。1. 访问 WebServ2003 服务器场景, "/"->" Employee Message Board",析。1. Web 访问 WebServ2003 服务器场景, "/"->" Display Directory",析。8. 访问 WebServ2003 服务器场景, "/"->" Shopping Hall",析该页面源。
A114-经典赛题-Web应用程序文件包含安全攻防
轻舟已过万重山
10-16 368
Web应用程序文件包含安全攻防服务器场景WebServ2003(用户名:administrator;密码:空)服务器场景操作系统:Microsoft Windows2003 Server服务器场景安装服务/工具1:Apache2.2;服务器场景安装服务/工具2:Php6;服务器场景安装服务/工具3:Microsoft SqlServer2000;服务器场景安装服务/工具4:EditPlus;网络拓扑:01-WebServ2003--02-AttWinXp用户:administrator。
2022年金砖国家职业技能大赛(决赛)网络空间安全赛项 | 浙江赛区选拔赛 任务书
Aluxian_的博客
10-14 4483
2022年金砖国家职业技能大赛(决赛)网络空间安全赛项 | 浙江赛区选拔赛 任务书
SQL 注入式攻击的本质
09-11
SQL 注入式攻击,又是注入式攻击,没想到2008年这个老掉牙的东西又出来搅风搅雨
sql注入攻击流量情况
07-18
sql注入攻击流量情况
实例讲解SQL注入攻击
02-26
SQL注入”是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不同),意思就是让应用运行本不应该运行的SQL代码。如果应用毫无防备地创建了SQL字符串并且运行了它们,就会造成一些出人意料的结果。本...
SQL注入攻击与防御
07-17
SQL注入是Internet上最危险、最有名的安全漏洞之一,《SQL注入攻击与防御》是目前唯一一本专门致力于讲解SQL威胁的图书。《SQL注入攻击与防御》作者均是专门研究SQL注入的安全专家,他们集众家之长,对应用程序的...
防止SQL注入攻击
08-11
以下是一些关于防止SQL注入攻击的重要知识: 1. **理解SQL注入**:SQL注入是当用户输入未经验证或过滤的直接插入到SQL查询中时发生的现象。例如,如果一个网站的登录表单不检查用户输入,恶意用户可以输入" OR ...
全国职业院校技能大赛2016年高职组信息安全管理与评估都二阶段答案及评
5L2g556F5ZWl77yf
12-17 4457
任务1:SQL注入攻防(55Web访问DCST中的WebServ2003服务器,进入login.php页面,析该页面源程序,找到提交的变量名,并截图;(5) 找到源程序:(2) 页面标题:Login Page 找到提交的变量名(3) 提供以下变量: name=“usernm” name=“passwd” 对该任务题目1页面注入进行SQL注入渗透测试,使该Web可通过任...
windows server2003 web服务器搭建
Sn1P3r的博客
03-03 4448
在控制面板中击添加或删除程序,打开如下界面: 勾选并打开应用程序服务器-Internet信息服务(IIS)-万维网服务 依次击确定后,开始下载服务,完成后打开IIS管理器 然后进行如下设置 在主目录下创建一个文本文档,输入内容,并保存为index.htm 打开浏览器,输入IP地址,即可看到刚才输入的内容 用物理机访问同理 ...
php filter base64,php://filter的妙用
weixin_36377516的博客
03-11 807
php://filter是PHP语言中特有的协议流,作用是作为一个“中间流”来处理其他流。比如,我们可以用如下一行代码将POST内容转换成base64编码并输出以下是2018年moctf一道 死亡退出的题查看源码:写在了最前面;说明当代码执行到这里会使代码直接退出,不会执行后续代码。所以我们要绕过这里!先来析下后续代码: 先给$c用post方法传递一个参数 此处的@是屏蔽错误提示的意思,后 f...
2022年-2023年中职网络安全web渗透任务整理合集
旺仔Sec&blog
02-25 3323
2022年-2023年中职网络安全web渗透任务整理合集
2022年山东省中职组“网络安全”赛项比赛任务书
武恩赐
02-12 514
2022年山东省中职组“网络安全”赛项比赛任务书
2018 年山东省职业技能大赛 中职组“网络空间安全”赛项竞赛赛题
yuhongkui的专栏
11-28 6918
一、竞赛时间 8:30-11:30,共计 3 小时。 二、竞赛阶段 三、竞赛任务书内容 (一)拓扑图 (二)第一阶段任务书 任务一、 Nmap 扫描渗透测试 任务环境说明: 服务器场景:Linux 服务器场景操作系统:Linux(版本不详) 渗透机场景:Kali 渗透机用户名:root,密码:toor 提示:使用 nmap 进...
谈一谈php://filter的妙用
beyond__devil的博客
10-19 1万+
原文地址: https://www.leavesongs.com/PENETRATION/php-filter-magic.html 这个可能是一个大牛,大家可以看看博客去,我没看过。。。 php://filter是PHP中独有的协议,利用这个协议可以创造很多“妙用”,本文说几个有意思的,剩下的大家自己下去体会。本来本文的思路我上半年就准备拿来做XDCTF2016的题目的,
文件包含漏洞的一些使用
baynk的博客
09-09 2558
根据比赛题目自己写的PHP文件,顺便把答案也做一下,简单记录。 文件包含漏洞攻防 任务环境说明 服务器场景:18fileinclude (实际是本机自己搭建的) 服务器场景操作系统:Microsoft Windows Server 2003 (实际是win10) 服务器场景安装服务:apache2.4+php5.4+mysql 集成环境 (实际是Apache/2.4.39 + php7.3.4)...
php://filter 的使用
热门推荐
hhh
09-03 2万+
今天做bugku的基础题遇见的……很神奇,真心涨姿势(好吧其实我现在每做一道题都是涨知识) 题目:flag在index里 链接:呼哈哈 题解: 可以看到题目打开的界面里 注意这里:?file=show.php;可以联想到文件包含漏洞,然后我们就可以用php://filter协议来查看源文件内容; 构造:php://filter/read=convert.base64-encode/...
SQL注入攻击技术详解
对于开发者来说,理解这些攻击方式有助于增强代码的安全性,防止SQL注入攻击。而对于安全从业者,熟练掌握SQL注入技术可以帮助他们检测系统漏洞,保障网络安全。因此,了解和学习SQL注入的实战方法对于提升网络防御...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

.摘星

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值