0x00 介绍
接着上一篇《CTF之主机渗透系列二》,咱们继续。还是那句话,任何工具使用均来自互联网,涉及到的技术仅用于教学,不得用于非法用途,请遵守国家安全法律法规,做一个正能量的安全人员。
试题如下:
![47c34e3ca5ab035b55903ef616ce582c.png](https://i-blog.csdnimg.cn/blog_migrate/7e8274cde41b2dd06779468564d94ced.jpeg)
第一步:我们访问链接:http://202.0.0.23/
![faad0d1807284c52e85b3e9d172caf5b.png](https://i-blog.csdnimg.cn/blog_migrate/6d7a129106ce8a32c097bdbce6030e45.jpeg)
进入网页首页,通过浏览观察,找到http://202.0.0.23/NewsList.asp?SortID=17 新闻资讯页面,通过get方法提交的参数名为SortID,值为1,我们尝试一下是否存在sql注入,通过sqlmap去跑一下
![fa9bc6b17d3b848b7ce801a7d96397a0.png](https://i-blog.csdnimg.cn/blog_migrate/80cfa7982241ceaaa7411fc5411ccd61.jpeg)