1. 实验目的
实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。
系统环境:Kali Linux 2、Windows Server
网络环境:交换网络结构
实验工具: Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA
2. 实验内容、原理
XSS注入
实验环境搭建。
角色:留言簿网站。存在XSS漏洞;(IIS或Apache、guestbook搭建)
攻击者:Kali(使用beEF生成恶意代码,并通过留言方式提交到留言簿网站);
被攻击者:访问留言簿网站,浏览器被劫持。
SQL注入
实验环境搭建。启动Metasploitable2虚拟机。
3. 实验过程
SQL注入
实战一:
进入页面获得cookie值,并将安全等级调为low
命令如下
结果如下
实战二:枚举所有数据库
命令如下
得到结果如下
实战三:枚举数据库和指定数据库的数据表
命令如下
结果如下
指定数据库的数据表
命令如下
结果如下
实战四:获取指定数据库和表中所有信息
命令如下
结果如下
实战五:枚举指定数据表中的所有用户名与密码
命令如下
结果如下
最后,关于sqlmap的语法参数,如下:
• -u :指定目标URL,即注入点
• --cookies:当前会话的cookies值
• -b:获取数据库类型,检索数据库管理系统标识
• --current-db:获取当前数据库
• --current-user:获取当前登录数据库使用的用户
• --users:枚举数据库用户名
• -password:枚举数据库用户的密码(hash)
• --dbs:枚举当前数据库
• -D:指定的数据库
• -T:指定数据库中的数据表
• --columns:获取列的信息
• -C:枚举数据表中的列
• --dump:存储数据表项
XSS注入
一、 利用AWVS扫描留言簿网站,发现其存在XSS漏洞
Kali
留言成功后哦进入留言板查看
用物理机去访问,可以发现kali控制我们的物理机
然后用kali控制物理机访问桂林电子科技大学官网
4. 实验小结
对XSS和SQL注入没什么了解,在这次实验中了解了大概的,在日后的学习中,我会继续学习这方面相关的知识