实验三 XSS和SQL注入

最新推荐文章于 2021-12-13 13:29:34 发布
最新推荐文章于 2021-12-13 13:29:34 发布
阅读量138 收藏
点赞数
分类专栏: 实验 安全工具 文章标签: 信息安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/llsnb666/article/details/110716592
版权

文章目录


实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。
系统环境:Kali Linux 2、Windows Server
网络环境:交换网络结构
实验工具: Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA

0x01 XSS部分:利用Beef劫持被攻击者客户端浏览器。

实验环境搭建。
角色:留言簿网站。存在XSS漏洞;(IIS或Apache、guestbook搭建)
攻击者:Kali(使用beEF生成恶意代码,并通过留言方式提交到留言簿网站);
被攻击者:访问留言簿网站,浏览器被劫持。

1x01环境搭建步骤

打开靶机Windows Server2003,使用桥接模式
在这里插入图片描述
然后出现下图
在这里插入图片描述
在这里插入图片描述
搭建了Guestbook环境(IIS)
浏览选定Guestbook文件在这里插入图片描述
在这里插入图片描述
IP设置为2003本机IP
试着用kali自带的火狐浏览器打开该IP
在这里插入图片描述
环境设置成功

1x02 漏洞扫描

安装AWVS,网上有资源,安装完成后扫描网站漏洞
在这里插入图片描述
下一步
在这里插入图片描述
输入我们的网站IP进行扫描
在这里插入图片描述
发现在error.asp和add.asp分别都有一个XSS漏洞。

1x03实战阶段

在这里插入图片描述
我们再kali中输入指令
sudo apt-get install beef-xss
安装beef
在这里插入图片描述
使用语句使用beef工具
刚开始使用可能会提示你设置账号密码
按程序设置就行了在这里插入图片描述
运行成功的标志是出现箭头所指代码
打开kali的火狐浏览器
进入http://127.0.0.1:3000/ui/authentication
在这里插入图片描述
输入刚才设置的账号密码登录
在kali中运行beef语句
在这里插入图片描述
获得xss注入代码

在这里插入图片描述
查一下kali的IP地址
把代码写入网站上
在这里插入图片描述
出现下图则成功了在这里插入图片描述
进入到beef网页界面
在这里插入图片描述
出现ip则劫持成功
在这里插入图片描述
可以对被劫持者发送内容
在这里插入图片描述
成功发起对话
在这里插入图片描述
也可以转到其他网站

0x02 SQL注入

这个在我其他博客提到下面是链接
SQL注入(DVWA+SQLMAP+Mysql)
谢谢观看!

1900301222-a0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
实验三XSSSQL注入
yghlqgt的博客
11-27 730
试验前需要掌握的知识 下面内容是试验前你需要了解并掌握的知识,详细的内容可以移步到这篇博客中去学习:试验前的知识储备 XSS部分 1、什么是XSS 2 、什么是XSS攻击 3、 什么是Cookie 4、XSS漏洞的分类 5、XSS的防御 SQL注入部分 1、什么是SQL注入攻击 2、为何会有SQL注入攻击 3. 何时使用SQL注入攻击 4、MySQL简介 5、实施SQL注入攻击 6、防范SQL注入方法汇总 实验部分 实验目的: 了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入
Server2003某网站sql注入
m0_70489261的博客
02-28 263
SQL之简要的SQL注入
【白帽子学习笔记】XSSSQL注入
python_LC_nohtyp的博客
11-17 1546
【白帽子学习笔记】XSSSQL注入 yysy姚总布置的实验报告越来越难写了,菜菜的我要写好久,┭┮﹏┭┮ 文章目录【白帽子学习笔记】XSSSQL注入0x01 实验知识点1x01 什么是XSS?1x02 什么是Cookie?1x03 XSS漏洞的分类1x04 SQL注入攻击0x02 XSS部分:Beef1x01 搭建GuestBook网站1x02 AWVS扫描1x03 Kail中使用Beef生成恶意代码1x04 XSS注入漏洞2x01 XSS劫持网站2x02 劫持浏览器指定被劫持网站为学校主
windows server 2003攻防环境搭建
weixin_47649806的博客
04-09 332
文章目录攻防环境搭建注意事项(win2003)一. SQL注入环境搭建二. PHP攻防环境搭建三. tomcat+Struts环境搭建四. jboss环境搭建五.weblogic环境搭建 攻防环境搭建注意事项(win2003) 一. SQL注入环境搭建 控制面板 -> 添加或删除程序 -> 应用程序服务器 -> 勾选ASP.NET IIS -> 网站 -> 停用默认网站 -> 新建网页 -> 配置属性 -> 主目录 -> 配置 -> 选项 -&
网络渗透测试 XSSSQL注入
12-02
【网络渗透测试 XSSSQL注入】的实验旨在深入理解网络安全中的两种常见攻击手法,并学习如何防范。XSS(跨站脚本攻击)和SQL注入都是针对Web应用的安全威胁,主要利用了程序处理用户输入的疏忽。 XSS攻击攻击者...
软件安全实验2 SQL注入实验
最新发布
06-19
分别是Brute Force(暴力破解)、Command Injection(命令行注入)、CSRF(跨站请求伪造)、File Inclusion(文件包含)、File Upload(文件上传)、Insecure CAPTCHA (不安全的验证码)、SQL Injection(SQL注入)...
适用于asp.net以及IIS服务器测试的网站源码(含有xss以及sql注入漏洞)
05-25
【标题】"适用于asp.net以及IIS服务器测试的网站源码(含有xss以及sql注入漏洞)" 提供了一个用于网络安全实践和IIS服务器配置验证的环境。这个资源包含了一个带有XSS(跨站脚本攻击)和SQL注入漏洞的ASP.NET网站源...
PHP开发漏洞环境SQL注入+文件上传+文件下载+XSS+万能密码+session/cookie+购物逻辑漏洞的学习等等)
05-08
这个PHP开发漏洞环境提供了学习和实践多种常见安全问题的机会,如SQL注入、文件上传、文件下载、跨站脚本(XSS)、弱口令、Session/Cookie管理以及购物逻辑漏洞等。下面将对这些知识点进行详细的阐述。 1. SQL注入:...
面向SQL注入XSS攻击的Web入侵检测系统的研究与实现 (1).pdf
01-04
本文提出了一种面向SQL注入XSS攻击的Web入侵检测方法,主要包括三个模块:Web日志采集模块、数据管理模块和入侵检测模块。Web日志采集模块负责将Web日志采集到数据库中,并对日志的数据进行预处理和清洗。数据管理...
DVWA系列(六)——使用Burpsuite进行SQL Injection(SQL注入
热门推荐
橘子女侠
05-06 1万+
1. SQL注入简介 (1)SQL注入漏洞原理 将恶意的SQL语句拼接到合法的语句中,从而达到执行SQL语句的目的; (2)SQL注入漏洞类型 字符型; 数字型; 搜索型; (3)SQL注入的过程 判断是否存在注入,注入是字符型还是数字型; 猜解SQL查询语句中的字段数; 确定显示位置; 获取当前数据库;获取数据库中表; 获取表中的字段名; 下载数据; 2....
网络渗透实验三XSSSQL注入
liangtaiwei的博客
12-13 631
1.实验目的 了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。 系统环境:Kali Linux 2、WindowsServer 网络环境:交换网络结构 实验工具:Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA 2.实验内容、原理 XSS部分:利用Beef劫持被攻击者客户端浏览器..
实验二、XSSSQL注入
weixin_30525825的博客
05-21 552
一、 实验目的 了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。 二、 系统环境:Kali Linux2、Windows 三、 网络环境:交换网络结构 四、 实验工具:AWVS(Acunetix Web Vulnar...
注入mysql win2003服务器密码_Win2003服务器防SQL注入神器--D盾_IIS防火墙
weixin_36464343的博客
01-19 139
0X01 前言D盾_IIS防火墙,目前只支持Win2003服务器,前阵子看见官方博客说D盾新版将近期推出,相信功能会更强大,这边分享一下之前的SQL注入防御的测试情况。D盾_IIS防火墙注入防御策略,如下图,主要防御GET/POST/COOKIE,文件允许白名单设置。构造不同的测试环境,IIS+(ASP/ASPX/PHP)+(MSSQL/MYSQL),看到这边的策略,主要的测试思路:a、白名单 ...
利用图片进行定位
llsnb666的博客
10-31 2827
1.图片定位原理 图片位置信息(即Exif的GPS定位信息)实现的。 1.1什么是Exif? Exif(Exchangeable Image File)是一种图像文件格式,它最早是由日本电子和信息技术协会(JEITA)为相机相机厂商制定一套标准。 现在,任何一部手机拍出的照片都有一组Exif参数,Exif除了有像素信息之外,还包含了光圈、快门、白平衡、ISO、焦距、日期时间等各种图像信息以及相机品牌、型号、色彩编码、拍摄时录制的声音以及GPS全球定位系统数据。 理论上,只要不经过特殊处理,每张图片的Exif
利用Wireshark进行对QQ图片的抓包
llsnb666的博客
11-01 1985
1.使用工具Wireshark与WinHex 1.1Wireshark简介 来源百度百科 Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 1.2WinHex简介 winhex 是一个专门用来对付各种日常紧急情况的工具。它可以用来检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失等。同时它还可以让你看到其他程序隐藏起来的文件和数据
使用kon-boot跳过系统输入密码界面
llsnb666的博客
10-31 1333
目录1.kon-boot简介2.kon-boot 最后一版免费版下载3.kon-bootU盘制作教程4.设置系统5.实践步骤 1.kon-boot简介 Kon-Boot是一款简单易用的系统密码清除工具,在使用计算机时,许多用户都会为设置登录密码,从而防止他人在未经授权的情况下登录我们的计算机,从以有效保护系统安全,如果用户忘记所设置的密码,则可以使用Kon-Boot来绕过身份验证,并直接登录到系统,该程序可以暂时改变系统内核引导,从而让您在登录界面下任何输入即可实现登录,其具备了简单直观的操作方式,而且有效

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值