2022年中职组网络安全数据库渗透题目
作者:互联网
首先来大体看一下题目:
第一道题目:
要找到web的渗透界面:
我们先不急,先用nmap扫描一下:
发现有80端口,现在来访问一下网站:
发现这个界面,题目做多了就会知道,这个界面出现说明后台目录是隐藏着的,我们这里给到了一个字典:
利用这个字典我们可以来爆破出它的后台目录:
可以看到爆破出来了两个目录:
通过访问我们发现index2.php是一个可疑目录:
提交成功。
我们再来看一下第二道题目:
要求查看数据库的名称,大部分人现在思路肯定使用sqlmap来进行一顿输出,但是现在如果使用sqlmap就会崩。所以我们现在必须试着手工来进行注入。所以说中职组一定也要学习一下手工注入。
通过判断发现是一个字符串的注入。
接下来我们判断有多少个字段:
发现进行了报错,说明存在三个字段,现在我们就可以看题目了:
题目要求得到数据库的名称:
我们先看看那个字段可以使用:
发现1和2都可以用:
那我们现在开始注入:
成功注入出数据库:
提交成功。
下面我们看第三题:
要求出入出数据库的字段数量:
我们刚刚已经注入出来了,所以我们直接提交:
提交成功。
看第四题:
要求得到用户的表名:
成功注入出表名,一看存在用户的表名就是users:
提交成功。
我们接着看下一道题目
:
5.通过本地PC中的渗透测试平台KALI2020对靶机进行SQL注入攻击,获取靶机的数据库信息,将用来存放WEB登陆用户admin用户的密文密码作为FLAG提交。
要求admin的md5密码:
我们在表名的基础上在进行操作:
在表的基础上注入出字段:
Admin的密文密码就得出来了:
我们接着看下一道题目:
要求得到数据的版本号:
我们接着进行注入:
版本号也成功注入出来了:
这道题目需要环境的可以私信我。
标签:网络安全,题目,提交,中职,数据库,成功,2022,我们,注入 来源: https://blog.csdn.net/qq_57147160/article/details/123032733