由于一些网站服务器没有配置好,导致敏感信息泄露,由于google强大的搜索能力,我们可以利用google和所学的知识可以构造一些语句来找到这些网站,这里我构造了一个“Index of ”语句去发现允许目录浏览的web网站,就象在本地的普通目录一样。
构造关键字Index of /admin,发现一个页面可以浏览内部文件,点击Parent Directory返回父目录,发现其他目录需要管理员权限从而进入国立台湾海洋大学教学网的后台管理界面。
尝试进入,构造几个常见的注入口令 a'or'1=1--,'or'a'='a发现并不能进入,可能这个位置不存在注入漏洞,只能想其他办法,由于现在php并未掌握太多,准备把这个页面留在以后破解。