sql注入原理:

渗透测试流程:

上传文件的时候,如果服务器端脚本语言未对上传的文件进行严格的验证和过滤,就容易造成可以上传任意文件的情况,从而控制整个网站,甚至是服务器。 这个恶意的文件(php、asp、aspx、jsp等),又被称WebShell。
WebShell就是以asp、PHP、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称之为一种网页后门。
攻击者在入侵了一个网站后,通常会将这些asp或php 后门文件与网站服务器web目录下正常的网页文件混在一起,然后使用浏览器来访问这些后门,得到一个命令执行环境,以达到控制网站服务器的目的。(可以上传下载或者修改文件,操作数据库,执行任意命令等)。
提权就是对当前权限的提升.通俗的说,就是当你获得Webshell(站点控制权限)的时候,想要进一步获取更大的权限即system控制权限。
实验步骤
检测网站的安全性
上传文件的时候,如果服务器端脚本语言未对上传的文件进行严格的验证和