当前位置: 首页 > news >正文

niushop靶场漏洞查找-文件上传漏洞等(超详细)

news 2025/7/15 19:32:45

实战漏洞-niushop

一.端口扫描

http://www.xxx.com/index.php?s=/admin/login

这里查询到后面的url有且仅有一个,目测估计是后台

访问url

发现确实是后台

二、找漏洞

Sql注入漏洞1:

点击进去

修改id

www.xxx.com/index.php?s=/goods/goodslist&category_id=11' and 1=1 -- s

发现报错,而且这个报错十分熟悉,与我们所学的sqli报错注入特别像

测试报错注入

不成功

文件包含

上传的图片是包含一句话木马的图片

发现获取到了webshell

http://www.lryc.cn/news/286532.html

相关文章:

  • Bit Extraction and Bootstrapping for BGV/BFV
  • 七八分钟快速用k8s部署springboot前后端分离项目
  • 中移(苏州)软件技术有限公司面试问题与解答(2)—— Linux内核内存初始化的完整流程1
  • 蓝桥杯、编程考级、NOC、全国青少年信息素养大赛—scratch列表考点
  • 1.23 力扣图论
  • Vue学习笔记9--vuex(专门在Vue中实现集中式状态(数据)管理的一个Vue插件)
  • Operation
  • Kong关键概念 - 服务(Services)
  • IDEA更改页面不重启
  • golang学习-channel管道
  • oracle 12 查询数据库锁
  • 【LeetCode-135】分发糖果(贪心)
  • 5G_射频测试_发射机测量(四)
  • MySQL经典50题
  • 常用的Qt开源库分享
  • Unity开发授权系统
  • 一周时间,开发了一款封面图生成工具
  • 【.NET Core】深入理解异步编程模型(APM)
  • pyqtgraph绘图类
  • C#6-10新增的内容
  • 【立创EDA-PCB设计基础】3.网络表概念解读+板框绘制
  • 在Python环境中运行R语言的配环境实用教程
  • 2023年总结我所经历的技术大变革
  • 基于YOLOv7算法的高精度实时车载摄像头下车辆检测系统(PyTorch+Pyside6+YOLOv7)
  • 深度学习(3)--递归神经网络(RNN)和词向量模型Word2Vec
  • 【江科大】STM32:中断系统(理论)
  • JAVA 学习 面试(六)数据类型与方法
  • Java 一个数组集合List<People> 赋值给另一个数组集合List<NewPeople> ,两个数组集合属性部分一致。
  • 基于神经网络的电力系统的负荷预测
  • OpenCV第 1 课 计算机视觉和 OpenCV 介绍