当前位置: 首页 > news >正文

Wophp靶场寻找漏洞练习

news 来源:原创 2024/9/19 21:50:29

1.命令执行漏洞

打开网站划到最下,此处的输入框存在任意命令执行漏洞

输入命令whoami

2.SQL注入

搜索框存在SQL注入,类型为整数型

最终结果可以找到管理员账户和密码

3.任意文件上传漏洞

在进入管理员后台后,上传木马文件

访问该文件,验证是否上传成功

成功

4.文件包含漏洞

在“关于”界面中可以看到本页面是直接采用本地包含,尝试看看能否包含其他文件

在phpinfo中可以看到远程文件包含关闭,所以可以尝试去本地文件包含

如图所示,在命令执行漏洞处上传sxy1.php,本地文件包含该文件

 5.xss漏洞

在登录界面用户名处存在xss漏洞

相关文章:

  • 北京网站建设多少钱?
  • 辽宁网页制作哪家好_网站建设
  • 高端品牌网站建设_汉中网站制作
  • 容器镜像同步工具image-migrator
  • 海量数据查找最大K个值:数据结构与算法的选择
  • 快速切换淘宝最新镜像源npm
  • 【聊聊AI编程必不可少的NLTK及其punkt、punkt_tab安装】
  • 设计模式 -- 单例设计模式
  • Linux - 探秘/proc/sys/net/ipv4/ip_local_port_range
  • 嵌入式Linux电池管理(TODO)
  • 【SpringCloud】微服务架构演进与Spring Cloud简介
  • EasyExcel 动态表头+表头合并
  • C语言基础——⑩③数据结构——②栈和队列
  • (不用互三)AI绘画工具应该如何选择
  • C语言 | Leetcode C语言题解之第394题字符串解码
  • Spring Framework 学习总结博客
  • 快速入门编写一个Java程序
  • 【mysql】mysql之主从部署以及介绍
  • [Vue CLI 3] 配置解析之 css.extract
  • 【comparator, comparable】小总结
  • 【附node操作实例】redis简明入门系列—字符串类型
  • 2019年如何成为全栈工程师?
  • Android 架构优化~MVP 架构改造
  • Apache的80端口被占用以及访问时报错403
  • conda常用的命令
  • const let
  • java中的hashCode
  • React-生命周期杂记
  • 关于Flux,Vuex,Redux的思考
  • 数据库写操作弃用“SELECT ... FOR UPDATE”解决方案
  • 以太坊客户端Geth命令参数详解
  • 原创:新手布局福音!微信小程序使用flex的一些基础样式属性(一)
  • ​Z时代时尚SUV新宠:起亚赛图斯值不值得年轻人买?
  • ​比特币大跌的 2 个原因
  • ![CDATA[ ]] 是什么东东
  • # 深度解析 Socket 与 WebSocket:原理、区别与应用
  • #1014 : Trie树
  • #微信小程序:微信小程序常见的配置传旨
  • (1)(1.11) SiK Radio v2(一)
  • (M)unity2D敌人的创建、人物属性设置,遇敌掉血
  • (黑客游戏)HackTheGame1.21 过关攻略
  • (五)MySQL的备份及恢复
  • (转载)OpenStack Hacker养成指南
  • .net core 3.0 linux,.NET Core 3.0 的新增功能
  • .NET Remoting学习笔记(三)信道
  • .net 获取url的方法
  • .net获取当前url各种属性(文件名、参数、域名 等)的方法
  • .NET面试题解析(11)-SQL语言基础及数据库基本原理
  • .NET正则基础之——正则委托
  • @Autowired标签与 @Resource标签 的区别
  • [ CTF ] WriteUp-2022年春秋杯网络安全联赛-冬季赛
  • [ vulhub漏洞复现篇 ] Celery <4.0 Redis未授权访问+Pickle反序列化利用
  • [boost]使用boost::function和boost::bind产生的down机一例
  • [C#]将opencvsharp的Mat对象转成onnxruntime的inputtensor的3种方法
  • [C#]手把手教你打造Socket的TCP通讯连接(一)
  • [C#7] 1.Tuples(元组)
  • [C#小技巧]如何捕捉上升沿和下降沿
  • [C/C++]关于C++11中的std::move和std::forward