靶场介绍:
SQL注入之日志写入WebShell
今天,给大家介绍一下“东塔攻防世界”其中的一个靶场:“SQL注入之日志写入WebShell”。
一、实验介绍
1.SQL注入
SQL注入是网站存在最多也是最简单的漏洞,主要原因是程序员在开发用户和数据库交互的系统时没有对用户输入的字符串进行过滤,转义,限制或处理不严谨,导致用户可以通过输入精心构造的字符串去非法获取到数据库中的数据。
2.日志功能
如果已经拿到数据库,可以查询日志功能是否开启,未开启的话直接用命令开启,再修改日志写入路径,将自己的一句话木马写入路径下,实现注入
提示:后台数据库的用户名和密码 root root123
二、实验目的
1.掌握sql注入的原理以及利用过程
2.掌握日志记录注入的原理以及注入的方式
三、实验步骤
1.启动靶场,查看靶场环境;
2.进行站点扫描;
3.进入后天打开日志开关。
四、防御方法
1.关闭日志记录功能,权限设置等级
2.安装waf等应用软件,经常检查更新配置文件