射击场介绍:
SQL注入的日志被写入WebShell
今天给大家介绍一下《东塔攻防世界》的靶场之一:“SQL注入的Log写入WebShell”。
I,实验介绍
1.SQL注入
SQL注入是网站中最简单的漏洞。主要原因是程序员在开发用户与数据库的交互系统时,没有对用户输入的字符串进行过滤、转义、限制或处理,导致用户通过输入精心构造的字符串非法获取数据库中的数据。
2.对数函数
如果你有数据库,你可以查询日志功能是否开启。如果没有,可以直接用命令打开,然后修改日志写入路径,把自己的木马写入路径,实现注入。
提示:后台数据库root root123的用户名和密码
二。实验目的
1.掌握sql注入的原理和使用流程。
2.掌握测井注入的原理和方法。
三。实验步骤
1.启动靶场,检查靶场环境;
2.进行现场扫描;
3.后天打开日志开关。
四。防御方法
1.关闭日志功能并设置权限级别。
2.安装waf和其他应用软件,并经常检查更新的配置文件。
本文来自年轻人玩的就是心跳投稿,不代表舒华文档立场,如若转载,请注明出处:https://www.chinashuhua.cn/24/616631.html