目录介绍：

• 1、metasploit渗透测试魔鬼训练营里使用xss注入时xp系统没反应使用其他虚拟机可以成功。
• 2、在http渗透测试的常见注入点有哪些 牛客
• 3、怎么利用xss渗透测试？

metasploit渗透测试魔鬼训练营里使用xss注入时xp系统没反应使用其他虚拟机可以成功。

是什麼意思？是你拿本地msf测试注入你的虚拟机才可以的，但你说的XP系统没反应是你虚拟机上的系统还是你本地的系统？通常测试都是拿虚拟机的系统作为测速，用於测试看看可以通过一些漏洞进去，你本地的系统如果是XP的话，现在的MSF都是64位的，你电脑是多少位？或许有一些漏洞，如果是在虚拟机注入本地XP系统的话，需要看你的虚拟机裏面装的是什麼系统。

exploits模块和payloads模块综合利用。

举个例子

比如Exploitwindows/smb/ms08_067_metapi

payload:windows/shell/bind_up

target:windows xp

在http渗透测试的常见注入点有哪些 牛客

注入点一般会带有xxID=1，其中的ID=数字 就可能是个注入点。

判断是否存在注入的话，可以手工在ID=1后面加上 and 1=1(注意，and前后都有空格)

然后回车， and 1=1修改成and 1=2再次回车，看看两次返回的页面是否一致，如果不一致说明可能存在注入。

当然你也可以用工具判断是否存在注入。

怎么利用xss渗透测试？

xss 全称跨站脚本攻击

本身不能对服务器产生影响，而是对浏览者或页面产生影响

分三种，反射型，存储型，DOM型

原理，对用户输入不过滤，导致输入信息转为JavaScript或html执行

简单用法盗取cookie，弹窗，页面跳转等，可配合csrf甚至是sql注入使用。

以上为纯理论，如何构造有效负荷请自行谷歌。

We are CLAY. No system is safe.