Metasploit:web应用渗透之XSS和SQL注入(一)

最新推荐文章于 2022-05-15 22:25:27 发布
最新推荐文章于 2022-05-15 22:25:27 发布
阅读量698 收藏 1
点赞数
分类专栏: Metosploit 文章标签: Metaspolit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43776408/article/details/107773867
版权

web应用漏洞举例

其实主要就两种web应用攻击技术
SQL注入和XSS攻击
2011年CSDN被SQL注入攻击了
##
新浪微博被XSS攻击了
在这里插入图片描述

web应用漏洞扫描经典语录

扫描类型有限,可能有的只会扫描XSS和SQL注入漏洞
另一方面扫描水平有限,误报
在这里插入图片描述

较好的扫描XSS和SQL漏洞工具

在这里插入图片描述

一次简单的XSS攻击

先下载XSSF
然后在metasploit中加载XSSF
本次目标:将某一个链接存到目标服务器中,等待用户登录,然后攻击其中一个登录用户
在这里插入图片描述
输入命令进行查看配置
我们使用的是存储型XSS
比如提交博客,将js代码永久存到目标服务器中
在这里插入图片描述
看到登录该网站的用户
在这里插入图片描述
查看特定主机信息
在这里插入图片描述
我们发现它安装IE6
攻击前准备
在这里插入图片描述
在这里插入图片描述
开始攻击
在这里插入图片描述
但是攻击使用什么攻击模块呢??
在这里插入图片描述
那就使用第十四个吧
在这里插入图片描述
结果
在这里插入图片描述

加油开心
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Metasploit渗透测试魔鬼训练营》 之 XSS
duangduang2020的博客
10-07 1507
知其然,知其所以然。本系列文章是对《Metasploit渗透测试魔鬼训练营》学习感悟的总结,特别是对书中不明确和没有挖掘原理的部分进行了讲解。一来是对自己的提醒,二来是希望对即将学习本书的人一个帮助和指导。
安全测试工具Metasploit与漏洞扫描(上)
Maggie97的博客
12-03 1万+
一、漏洞及漏洞发掘方法   漏洞,是指在硬件、软件、协议实现或系统安全策略上存在缺陷,攻击者能够在未授权的情况下对系统进行访问或破坏。它会成为入侵者侵入系统和植入恶意软件的入口,影响系统用户的切身利益。漏洞与目标系统的操作系统版本、软件版本以及服务设置密切相关。研究漏洞必须要了解当前计算机系统及其安全问题的最新发展动态。常见的漏洞包括缓冲区溢出漏洞、跨站脚本漏洞(XSS)、SQL注入漏洞、数据库漏洞以及WEB应用漏洞等。   常见的漏洞发掘方法分为以下几种。   ·黑盒攻击(Fuzzing):即通过注入..
Metasploit渗透测试指南_渗透测试_metasploit_
10-04
介绍Metasploit使用方法,进行各种各样的渗透测试
利用SQL注入漏洞拖库
12-25
利用SQL注入漏洞拖库 - 利用 SQL 注入漏洞拖库的方法 1 建立数据库和表 建立数据库 lab。 在 lab 数据库创建一张表 article
awesome-web-hacking:Web应用程序安全性列表
02-13
很棒的网络黑客 该列表适用于希望了解Web应用程序安全性但没有起点的任何人。 您可以发送“拉取请求”添加更多信息,以提供帮助。 如果您不希望进行@infoslack可以通过@infoslack发送给我 目录 图书 Web应用程序黑客手册:发现和利用安全漏洞 入侵Web应用程序:检测和预防Web应用程序安全性问题 入侵暴露的Web应用程序 SQL注入攻击和防御 纠结的WEB:保护现代Web应用程序的指南 网络应用程序混淆:“-/ WAFs..Evasion..Filters // alert(/ Obfuscation /)-” XSS攻击:跨站点脚本利用和防御 浏览器黑客手册 网络黑客基础:攻击网络的工具和技术 使用Kali Linux进行Web渗透测试 Web应用程序安全性,新手指南 黑客:剥削的艺术 密码学101是密码学入门课程 安全工程 食谱 学习和应用密码技术。 文献
SQL注入绕过的技巧总结
12-14
sql注入在很早很早以前是很常见的一个漏洞。后来随着安全水平的提高,sql注入已经很少能够看到了。但是在,还有很多网站带着sql注入漏洞在运行。稍微有点安全意识的朋友应该懂得要做一下sql注入过滤。   SQL注入的绕过技巧有很多,具体的绕过技巧需要看具体的环境,而且很多的绕过方法需要有一个实际的环境,好是你在渗透测试的过程中遇到的环境,否则如果仅仅是自己凭空想,那显然是不靠谱的。这篇文章是总结我在遇到的CTF题目或者是渗透环境的过程中,所使用到的sql注入的绕过技巧,这篇文章随着自己的见识和能力不断的提升,所总结的方法也会变多。   一、引号绕过   会使用到引号的地方是在于后的whe
mad-metasploitMetasploit自定义模块,插件,资源脚本和很棒的metasploit集合
02-22
Metasploit自定义模块,插件,资源脚本和超棒的metasploit集合 惊人的 打开 将mad-metasploit添加到metasploit框架 配置您的metasploit-framework目录 $ vim config/config.rb $metasploit_path = '/opt/metasploit-framework/embedded/framework/' # /usr/share/metasploit-framework 2-A。 互动模式 $ ./mad-metasploit 2-B。 命令行模式(全部预设) $ ./mad-metasploit [-a/-y/--all/--yes] 使用自定义模块 搜索辅助/漏洞,其他.. HAHWUL > search springboot Matching Modules
metasploit魔鬼训练营_XSS
weixin_34037977的博客
11-11 980
在owaspbwa环境下进行渗透,总结xss: ubuntu安装xsstrike模糊测试工具.之支持python3环境。XSStrike_模糊测试 Powerful fuzzing engine Context breaking technology Intelligent payload generation GET & POST method suppor...
Kali渗透测试:使用MetasploitWeb应用的攻击
Liu_Bruce的博客
05-15 3341
Kali渗透测试:使用MetasploitWeb应用的攻击 Web应用程序的漏洞数量众多,这里我们以其中一个命令注入漏洞为例复现一下。这种漏洞源于Web应用程序没有对用户输入的内容进行准确的验证,从而导致操作系统执行了攻击者输入的命令。下面是一段运行在Metasploitable2靶机上的PHP脚本,它来自于DVWA,代码如下: <html> <body> <form name="ping" action="#" method="post"> &
metasploit 魔鬼训练营 学习笔记(2) 第四章(web一些漏洞与防止)
ClintSeven的博客
04-12 315
metasploit 第四章开头以及之前学过的总结
Mastering-Metasploit:掌握Metasploit书中的Metasploit模块
05-17
此存储库包含《掌握Metasploit手册》中涵盖的模块: #要将所有模块自动加载到metasploit: ./msfrun.sh #手动方法#加载所有核心metasploit模块(开发,辅助,发布): msf>加载路径/ root / Desktop / Mastering-Metasploit / modules / 加载了12个模块: 2 auxiliarys 3 posts 7 exploits #要加载所有meterpreter脚本: 将所有模块从book_meterpreter_scripts复制到/ usr / share / metasploit-framework / scripts / meterpreter
渗透测试之Metasploit
06-16
本套教程,我们将为大家详细讲解Metasploit的使用方法。 Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程。
SQL注入漏洞扫描检测
12-20
SQL注入检测的全套代码和论文介绍,C#,Web应用漏洞检测技术,是一种针对web应用的积极防御技术。该技术在应用尚未遭受攻击前,模拟黑客攻击的方式对目标系统进行各种探测,发现系统潜在的漏洞。由于web应用工作在HTTP应用层协议上,所以传统的防火墙、IDS等网络层防护设备不能对其进行保护,此时就需要web应用漏洞检测工具对系统的应用层进行保护,二者互补不足,共同保护web系统的安全。
渗透测试-文件上传总结
抚琴
02-20 200
https://blog.csdn.net/moretry_chen/article/details/89068250
Kali Linux Web 渗透测试视频教程—第十一课-扫描sql注入、上传绕过
weixin_34358365的博客
10-23 74
2019独角兽企业重金招聘Python工程师标准>>> ...
xss利用之kali神器beef
热门推荐
jiangliuzheng的专栏
07-14 3万+
1、beef基本配置 BeEF在Kali下默认安装,直接找到对应图标启动即可,但是默认设置未同Metasploit关联,无法使用msf模块,因此需要作如下配置连接msf 1、修改config.yaml 编辑 /usr/share/beef-xss/config.yaml metasploit: enable: false改为true 编辑 /usr/
Web渗透测试实战:基于Metasploit 5.0
华章IT官方博客
03-28 3973
在当今快速发展的技术世界中,信息安全行业正以惊人的速度变化,与此同时,针对组织的网络攻击数量也在迅速增加。为了保护自己免受这些来自真实世界的攻击,许多组织在其流程管理中引入了安全审计以及风险和漏洞评估机制,旨在评估与其业务资产有关的风险。为了保护IT资产,许多组织聘请信息安全专业人员,以识别组织的应用程序和网络中可能存在的风险、漏洞和威胁。对于信息安全专业人员来说,掌握并...
XSS攻击详解
wanqianshao的博客
12-15 4846
一.xss攻击简介 1.OWASP TOP 10 之一,XSS被称为跨站脚本攻击(Cross-site-scripting) 2.主要基于java script 完成恶意攻击行为。JS可以非常灵活的操作html、css和浏览器,这使得XSS攻击的想象空间特别大。 3.XSS通过将精心构造代码JS注入到网页中,并由浏览器解释运行这段代码,以达到恶意攻击的效果。当用户访问被XSS脚本注入的网页,XSS脚本就会被提取出来。用户浏览器就会解析这段XSS代码,也就是说用户被攻击了。 4.微博,留言板,聊天室等等收集用
验证SMB登录
qq_43776408的博客
10-31 1740
使用该方法可对大量的主机的用户名和口令进行猜解 但这种动静很大,容易被windows系统日志留下痕迹 ///////////////////////////////// use auxiliary/scanner/smb/smb_login set RHOSTS 192.168.43.15 set SMBUser administrator set SMBPass 123456 se...
如何使用工具对web进行渗透测试
最新发布
06-06
以下是使用工具对 Web 应用程序进行渗透测试的步骤: 1. 确定测试目标和范围 - 确定要测试的 Web 应用程序和相关的网络范围,包括 IP 地址、域名、应用程序 URL 等。 2. 收集信息 - 使用工具收集 Web 应用程序的信息,包括 Web 服务器、Web 应用程序、数据库等相关信息。 - 使用工具进行目录和文件扫描,发现敏感信息和潜在的漏洞。 3. 漏洞扫描和测试 - 使用工具进行漏洞扫描,发现 Web 应用程序中存在的漏洞和弱点。 - 使用工具进行 SQL 注入攻击测试,检查 Web 应用程序是否容易受到 SQL 注入攻击。 - 使用工具进行 XSS 攻击测试和 CSRF 攻击测试,检查 Web 应用程序是否容易受到跨站点脚本攻击和跨站点请求伪造攻击。 4. 身份认证和授权测试 - 使用工具进行身份认证和授权测试,检查 Web 应用程序的认证和授权机制是否安全和有效。 5. 恶意代码检测 - 使用工具检测 Web 应用程序中是否存在恶意代码或后门程序。 6. 日志审计 - 检查 Web 应用程序的日志记录和审计机制,使用工具进行日志分析,发现异常活动和潜在攻击行为。 7. 测试报告和建议 - 撰写测试报告,详细描述测试过程、测试结果、测试发现的漏洞和弱点等,给出建议和建议措施,帮助 Web 应用程序的管理者修补漏洞和强化安全措施。 常用的 Web 应用程序渗透测试工具包括 Burp Suite、OWASP ZAP、Nessus、Metasploit 等,需要根据具体的测试需求和测试目标选择合适的工具。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值