commix 命令注入获取信息 (好东西)
有特征
我们使用kali+BWAPP环境本地搭建(未授权测试,为非法测试。请勿用于非法利用)
1.网站访问发现有注入
2.使用Tamper Data 抓取post的包,因为他是post提交的。
3.提取复制其中的cookie和postdata包内容数据
4.提取出来的数据 cookie和url还有 postdata
5.使用commix,查看命令
6.开始根据命令组装我们的注入语句。点击回车,记住一定要有读写权限的账户。
7.开始扫描了。
8.是否进行注入
9.是否得到控制shell
得到数据shell了。。。可以不要“做坏事”。
网络安全法出台了,未授权测试,是不允许的。违法的。
且行且珍惜 -_-!。