MySql注入漏洞与一句话木马应用

【郑重提醒】根据我国《网络安全法》等相关法律、法规规定，未经授权的渗透测试均属于攻击行为，本文所使用到的系统环境，均在自行搭建的靶机中完成，相关技术仅用于安全爱好者交流使用，请勿用于真实环境测试，切记，切记，切记（重要的名词说三遍）！【背景知识】SQL注入（不清楚的童鞋，可在“小白学安全”专栏的前期文章中找到，找个安静的角落，自习一下，相信自己是最棒（Pang）的）。

在方框中输入“基础版”的注入测试符“’”（单引号），系统这样回答：

通过XXXX抓包分析工具中的重放模块，实行重放测试。

来啊，上马，hahaha。

下一步，就是把这个文件用起来，我们得利用靶机中的文件包含漏洞。在地址栏中后端，输出查看root目录下文件的命令“ls/root”,看一下root目录下有啥文件呢，见下图。当然，还可以输入其它的系统命令，比如查看记录系统passwd文件的命令“cat/etc/passwd”等等。前排这位举手的童鞋，你有什么问题？听不太懂？想再深入学习一下？