有会的大佬吗,私聊有偿q1434712246
下载源码,搭建网站,发现4+漏洞(至少包含文件上传、SQL注入、xss)
1.搭建网站(10)
1)域名要求自己的名字的拼音(例如:www.zhangsan.com)
访问成功截图
答案用黑色
2)端口号,要求自己的学号前两位+后两位(例如:19305002,使用1902)
3)数据库:数据库名称名字自己名字拼音(zhangsan,)用户名:zhangsan
密码:
4)提示:配置文件处可能需要修改。
2.SQL注入漏洞挖掘 (30)
找到SQL注入的点
1.什么类型的SQL注入类型(字符或者数字)5分。如何判断的,说明原因
2.手工注入,获取数据库的用户名和密码,解释关键测试语句的含义 (15)
3.SQLmap自动化注入,获取数据库的用户名和密码,要求解释命名的参数。10
5.其它漏洞 10
越权,命令执行等,任选一个
解释清楚实现过程
越权
命令执行
下载源码,搭建网站,发现4+漏洞(至少包含文件上传、SQL注入、xss)
1.搭建网站(10)
1)域名要求自己的名字的拼音(例如:www.zhangsan.com)
访问成功截图
答案用黑色
2)端口号,要求自己的学号前两位+后两位(例如:19305002,使用1902)
3)数据库:数据库名称名字自己名字拼音(zhangsan,)用户名:zhangsan
密码:
4)提示:配置文件处可能需要修改。
2.SQL注入漏洞挖掘 (30)
找到SQL注入的点
1.什么类型的SQL注入类型(字符或者数字)5分。如何判断的,说明原因
2.手工注入,获取数据库的用户名和密码,解释关键测试语句的含义 (15)
3.SQLmap自动化注入,获取数据库的用户名和密码,要求解释命名的参数。10
5.其它漏洞 10
越权,命令执行等,任选一个
解释清楚实现过程
越权
命令执行
