实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。
系统环境:Kali Linux 2、Windows Server
网络环境:交换网络结构
实验工具: Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA
0x01 XSS部分:利用Beef劫持被攻击者客户端浏览器。
实验环境搭建。
角色:留言簿网站。存在XSS漏洞;(IIS或Apache、guestbook搭建)
攻击者:Kali(使用beEF生成恶意代码,并通过留言方式提交到留言簿网站);
被攻击者:访问留言簿网站,浏览器被劫持。
1x01环境搭建步骤
打开靶机Windows Server2003,使用桥接模式
然后出现下图
搭建了Guestbook环境(IIS)
浏览选定Guestbook文件
IP设置为2003本机IP
试着用kali自带的火狐浏览器打开该IP
环境设置成功
1x02 漏洞扫描
安装AWVS,网上有资源,安装完成后扫描网站漏洞
下一步
输入我们的网站IP进行扫描
发现在error.asp和add.asp分别都有一个XSS漏洞。
1x03实战阶段
我们再kali中输入指令
sudo apt-get install beef-xss
安装beef
使用语句使用beef工具
刚开始使用可能会提示你设置账号密码
按程序设置就行了
运行成功的标志是出现箭头所指代码
打开kali的火狐浏览器
进入http://127.0.0.1:3000/ui/authentication
输入刚才设置的账号密码登录
在kali中运行beef语句
获得xss注入代码
查一下kali的IP地址
把代码写入网站上
出现下图则成功了
进入到beef网页界面
出现ip则劫持成功
可以对被劫持者发送内容
成功发起对话
也可以转到其他网站
0x02 SQL注入
这个在我其他博客提到下面是链接
SQL注入(DVWA+SQLMAP+Mysql)
谢谢观看!