KoreanHackerTeam
Moderator
0x01 前言
범죄 및 방어 훈련의 정보 수집 중에 웹 사이트와 자산 웹 사이트가 동일한 IP 세그먼트 인 것으로 밝혀 졌으므로 불법 사이트가 침투했습니다.사전 및 기타 리소스 파일은 마지막에 얻을 수 있습니다.
0x02 SQL漏洞发现
사이트를 방문하십시오
플러그인을 사용하여 사이트를 PHP로보십시오
일반 디렉토리 스캔
프론트 데스크
한 번의 클릭으로 로그인 한 후 새 주소에 주입이 있음을 알았습니다.
0x03 进一步漏洞利用
여기서 매개 변수를 가져와야한다는 메시지가 표시됩니다. address.php 요청에서 임의의 숫자 요청을 채운 후 정보를 계속 작성하고 패킷을 잡고 SQLMAP를 실행하십시오.
오랫동안 기다린 후, 부울 맹인과 오류 주사가있는 것으로 밝혀졌습니다.
다음으로 사이트 백엔드 관리 주소를 찾으십시오
주입 된 계정 비밀번호를 사용하여 백그라운드에 로그인하십시오.
0x04 任意文件上传
업로드 포인트를 찾고 있습니다
업로드
액세스 경로
PHP를 직접 업로드하고 들어 올리십시오
지금까지 나는이 사이트를 가져 와서 간단하고 효율적인 방식으로 가져갔습니다!