注入岛国网站，技术菜鸟第一次....

文章预览

作者：panda 链接：https://forum.90sec.com/t/topic/1316 1.打开了谷歌hack 数据库 2.在谷歌中漫步，看到几个?id=XXX结尾的网址，加’ 出现报错，也有好几个注入点，是打开后就可以看到mysql的报错信息。 其中有一个越南的公益网站，应该是停止维护了，但还是给管理员发送了提醒注入漏洞的邮件。最后选了一个岛国信息网站，开始愉快的一天。 3.直接丢给了sqlmap自动注入，与此同时使用 Nikto 和nmap 进行信息搜集，因为是新手，全是--help看的基础命令 Nikto   -h  127 .127.127.127 Nmap   -v   -A  127 .0.0.1 用sqlmp -u “http://url” --os-shell ，却发现找到了根目录但是没法上传文件，最后确认是mysql没有写入当前目录的权限。 Sql一直在提示上传失败 [WARNING]   it   looks   like   the   file   has   not ………………………………