vulnhub - hackme 考点:(sql注入&上传&linux信息搜集)

https://www.vulnhub.com/entry/hackme-1,330/
nat网络,
arp-scan -l 扫出来比平常多的ip就是靶机

nmap看到80当然是web信息搜集,22想到找ssh登录信息

80看到登录框就注入干他,但是没用,可以注册,先注册吧。。

其他没收集到多少亮眼信息,
进入后是搜索书的搜索框。这种搜索框数据交互当然要想到注入了。。

试了几次,什么也别输入,点回车,会出现书的信息,拿书名来注入。。

在这里插入图片描述

完整的手工注入如下。骚年,我每次都给你们辛苦写出来了手工注入。你们只会见到sql就跑sqlmap,别说考试用不了,另外实战也不会给你们多少机会用sqlmap的,自己想想为什么。。工具随时可用,但如果用不了的时候呢??歇菜了??实战中多的是比这更复杂的盲注。。。手工注入才是王道!,记住、

Security+' order by 3#
Security+' union select 1
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值