靶場介紹:
SQL注入之日誌寫入WebShell
今天,給大家介紹一下「東塔攻防世界」其中的一個靶場:「SQL注入之日誌寫入WebShell」。
一、實驗介紹
1.SQL注入
SQL注入是網站存在最多也是最簡單的漏洞,主要原因是程序員在開發用戶和資料庫交互的系統時沒有對用戶輸入的字元串進行過濾,轉義,限制或處理不嚴謹,導致用戶可以通過輸入精心構造的字元串去非法獲取到資料庫中的數據。
2.日誌功能
如果已經拿到資料庫,可以查詢日誌功能是否開啟,未開啟的話直接用命令開啟,再修改日誌寫入路徑,將自己的一句話木馬寫入路徑下,實現注入
提示:後台資料庫的用戶名和密碼 root root123
二、實驗目的
1.掌握sql注入的原理以及利用過程
2.掌握日誌記錄注入的原理以及注入的方式
三、實驗步驟
1.啟動靶場,查看靶場環境;
2.進行站點掃描;
3.進入後天打開日誌開關。
四、防禦方法
1.關閉日誌記錄功能,許可權設置等級
2.安裝waf等應用軟體,經常檢查更新配置文件
原創文章,作者:投稿專員,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/216619.html
微信掃一掃 
支付寶掃一掃 