嗨朋友们..
今天我将向您展示如何在很短的时间内通过错误信息找到网页中的漏洞。
什么是错误消息?
错误消息是由于多种因素而显示在网页上的通知,其中包括 Web 服务器及其应用程序中的错误配置。这可以向想要控制系统的对手泄露非常重要的信息。
目标
首先要做的是在 Google Dork 的帮助下在我的网站()上查找一些易受攻击的参数。语法如下:“ inurl: site: ”。
在此搜索中,我们发现了潜在易受攻击目标的 10 个可能的 URL。
现在,我将 Google 主页的结果保存在.html文件中,并使用grep提取 URL,并使用sort删除重复行
检查参数
现在我将使用一些 SQL 有效负载来查明参数是否可注入。我们从之前的结果中复制一个随机 URL,并将其输入到浏览器的搜索栏中。然后我们将有效负载添加为可能存在漏洞的参数的值
发送攻击
我将使用 sqmlap 尝试枚举他们的数据库。该服务器使用MariaDB作为 DBMS
正如您所看到的,sqlmap 能够枚举 Web 服务器 (Apache) 数据库,使用一些参数(-level和--risk)和模块来绕过WAF。感谢您的阅读:)
领取专属 10元无门槛券
私享最新 技术干货