当前位置: 首页 > news >正文

第八周作业

1、使用Sqlmap工具完成对DVWA数据库的注入过程,要求按照库、表、列、内容的顺序进行注入

爆库: 

 

爆表: 

 

爆字段: 

 

下载数据: 

 

 

 

2、XSS

 (1)完成DVWA靶场存储型XSS的漏洞练习 

输入XSS代码: 

 

以另外一个用户登录: 

 

访问XSS(Stored)模块: 

 

访问结果: 

 

 (2)使用pikachu平台练习XSS键盘记录、前台XSS盲打攻击获取cookie,利用cookie实现登录

XSS键盘记录: 

修改脚本中服务器的IP地址: 

 

输入payload: 

 

进入pikachu键盘记录后台: 

 

键盘输入内容: 

 

结果显示: 

 

获取cookie: 

输入payload: 

 

登录后台地址: 

 

获取cookie值: 

 

直接拷贝后台地址进行访问,但跳转到登录页面 

 

配置cookie: 

 

成功登录: 

 

(3)使用beef制作钓鱼页面,克隆任意站点的登录页面并获取用户登录的账号密码 

beef配置: 

 

 

启动beef,获取API key: 

 

克隆页面: 

 

访问克隆页面: 

 

 输入用户名和密码:

 

在Beef中获取用户名和密码: 

 

3、文件上传 

(1)客户端绕过练习 

禁用JS: 

 

修改后缀名: 

 

修改前端代码: 

 

(2)服务端黑名单绕过:给出.htaccess文件绕过的具体步骤 

准备文件: 

 

上传.htaccess文件: 

 

上传pipinfo文件: 

 

访问: 

 

 

http://www.dtcms.com/a/183489.html

相关文章:

  • 基于STM32的LCD信号波形和FFT频谱显示
  • “睿思 BI” 系统介绍
  • 自学嵌入式 day 17- c语言-第11章 结构体与共用体 第12章 位运算
  • 批量导出docker镜像
  • 如何解决 PowerShell 显示 “此系统上禁用了脚本运行” 的问题
  • 在资源受限设备上实现手势识别:基于包络EMG数据和实时测试的Tiny-ML方法
  • 【Linux】用户管理
  • Dify-1.3.1介绍及部署镜像下载
  • ECMAScript 2017(ES2017):异步编程与对象操作的革新
  • 0.环境初始化
  • Python时间模块
  • PXE_Kickstart_无人值守自动化安装系统
  • 自动语音拨号系统V2.6.0产品说明书
  • BC12-字符金字塔
  • day21python打卡
  • HC-SR04超声波测距传感器
  • Block Styler——字符串控件
  • jetson orin nano super AI模型部署之路(十)使用frp配置内网穿透,随时随地ssh到机器
  • 含锡电镀废水深度净化技术体系解析化利用的全流程优化
  • 【C++贪心 位运算】B3930 烹饪问题|普及
  • Day20打卡-奇异值SVD分解
  • 2025年大模型RAG技术的实践总结
  • 解释器和基于规则的系统比较
  • 历史数据分析——北部湾港
  • (2025)图文解锁RAG从原理到实操
  • 当冲压焊接遇上Canopen到Profinet协议转换网关
  • 【XCP实战】AUTOSAR架构下XCP DAQ功能配置实现
  • 代码随想录算法训练营第三十七天
  • 学习黑客5 分钟深入浅出理解Linux Logs [特殊字符]
  • MD5 值是什么?为什么文件需要检验 MD5?