关卡二十题目:网站漏洞攻击之旅游网站关卡描述:注入攻击是黑客对数据库进行攻击的常用手段之一。随着模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些想得知的数据,这就是所谓的,即注入。注入一般包括工具注入和手工注入。使用软件工具进行注入,方便快捷,效率高,技术门槛低。手工注入进行入侵网站是一个很繁琐的事情,但是它的用处和作用仍是值得重视的,尽管它没有工具注入快,但它却有着灵活多变的特点,适应性极强。答案提交:、请提交操作过程报告。报告中应该包换操作的关键步骤的描述和相应截图,报告以方式提交。参考步骤:方法进入关卡二十:|w 关卡20 必1(本题应 0 分)题目99:网站漏洞攻击之旅游网站|心血来潮,一时技痒,想要测试下网站的安全性,通过查找网站漏洞,然后进入网站后台,传 webshell.提权等,最后获取到系统管理员账户权限,找到敏感文件。nr点击查看地址打开场景工具渗透攻击机wiriacp打开浏览器,输入靶机地址,查看网站入为,然后开始检测输获取系统最后在渗透攻击机中找到工,在级时间*3http://lT2.16.1.12/data/ad*in/ver.txt 一 MicrosoftInternetExplorer丈件(E)編辑⑥查看歎收藏®工具⑪帮助⑩◎后退*冈闻 O 耳搜索☆收藏夹©i0*◎厨¥地址CD).自htl//1T2.16.1.12/data/admin/ver.txtV转到推接•w20110624dedecMsS.TFk/批量检测 yUEL:pittp://lT2.16.1.12正在横■…升级时间:20110624IH:aiiiriinMdSFasE:Ta57a5a743894a0e默认后台:http://172.16.1.12/dede/dedecms5.7bO在渗透攻击机中找到工具:查询爆破,在爆破菜单下,添加值,爆破得到明文密码:.后台登录:DEDf<^14S建討窃丸俺勒毛 C[©172.16.1.12/dede/login.php?gotopage=%2Fdede%2F一轻松上手-小编推荐应用□常用网站□从 1E 中导入返回网站主页4 您的管理目录的名I•进入后台后,选择模块-文件官理器织梦内客管理系统■-轻松上手■-小■编推荐应用□常用网站 DAIE 中导入=丨回 I我的网站 - 织梦内容 管理寿 \琢^172.16.1.12/data/common.<-->0[®172.16.1.12/dede/、禅配梦内容営锤藉舗 vS.7H 隐藏菜单■功能地图功能搜索搜索“】官方论坛“】在线帮助F 模块管理核4>□複块管理□上伎新模块□...
