漏洞1
- 进入网页http:// 43.143.169.251/index
- 开启burpsuite抓包,暴力破解进入
- 站点设置----底部代码----注入xss弹窗,
- 有弹窗,所以此处有漏洞
- 登录Xss平台 ---- 一句话代码
- 输入一句话代码
- 获取到cookie
现在就可以不使用密码登陆啦!
- 对浏览器清除缓存,把之前登陆的密码和cookie忘记(不然会自动登录)
再次登录http://43.143.169.215/admin.php,重新登录
- F12是开发人员工具 ---- HackBar(自己添加的扩展)
- 执行之后就登陆啦!
漏洞2
之后的过程都是一样的啦,大家可以去试试!1