标签:浏览器 ali http 开始 tar xss 用户认证 The xss漏洞
GET/POST
SQL注入
‘ or 1=1#
中#
相当于注释符,把后面的内容都注释掉,1=1
是永真式,条件永远成立,和代码中select语句组合后变成select * from login5121 where username=‘‘ or 1=1# ‘ and password=‘‘
,不管密码是否输入正确,都能够成功登录。XSS攻击
使用netstat -tupln |grep 80
查看80端口是否被占用
sudo vi /etc/apache2/ports.conf
命令修改Apache的端口文件,将端口改为http对应的80号端口
apachectl start
开启Apache服务
使用setoolkit
打开SET工具
选择1:Social-Engineering Attacks即社会工程学攻击
选择2:Website Attack Vectors即钓鱼网站攻击
选择3:Credential Harvester Attack Method
选择2:Site Cloner进行克隆网站
输入攻击机IP
输入被克隆的url
在靶机上输入攻击机IP按下回车后跳转到被克隆的网页和KALI上的显示:
使用ettercap -G
开启ettercap
点击工具栏中的“Sniff”——>“unified sniffing”
,在弹出的界面中选择“eth0”——>“ok”
,即监听eth0网卡
点击工具栏中的“Hosts”——>“Scan for hosts”
扫描子网并点击工具栏中的“Hosts”——>“Hosts list”
查看存活主机
将kali网关的IP添加到target1,靶机IP添加到target2
点击工具栏中的“Plugins”——>“Manage the plugins”
,选择“dns_spoof”
即DNS欺骗的插件
然后点击左上角的“start”——>“Start sniffing”选项开始嗅探.
靶机上输入ping www.microsoft.cn,可以在Kali端看到反馈信息:
参照实验一,克隆登录网站;参照试验二,开启DNS欺骗:
标签:浏览器 ali http 开始 tar xss 用户认证 The xss漏洞
原文地址:https://www.cnblogs.com/fkurightup/p/12952160.html