bwapp(1)

最新推荐文章于 2024-07-03 12:39:41 发布
最新推荐文章于 2024-07-03 12:39:41 发布
阅读量1.1k 收藏
点赞数
分类专栏: 安全 靶机 文章标签: bwapp HTML注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Super_Yiang/article/details/82970499
版权

HTML Injection - Reflected (GET)

low

题目很明显注入,而且提交方式为get,尝试着在输入框分别输入1和1

http://192.168.109.130/bWAPP/htmli_get.php?firstname=1&lastname=1&form=submit

下方也会显示

那么尝试注入代码

<marquee><h2>You just got hacked!!</h2></marquee>

成功注入

medium

尝试直接注入

<marquee><h2>You just got hacked!!</h2></marquee>

注入失败

查看源码发现<和>被转义成&lt;和&gt;

尝试将<和>进行urlencode成%3C和%3E进行注入

%3Cmarquee%3E%3Ch2%3EYou just got hacked!!%3C/h2%3E%3C/marquee%3E

成功绕过并注入

high

高级别的直接放源码审计吧

function xss_check_3($data, $encoding = "UTF-8")
{

    // htmlspecialchars - converts special characters to HTML entities    
    // '&' (ampersand) becomes '&amp;' 
    // '"' (double quote) becomes '&quot;' when ENT_NOQUOTES is not set
    // "'" (single quote) becomes '&#039;' (or &apos;) only when ENT_QUOTES is set
    // '<' (less than) becomes '&lt;'
    // '>' (greater than) becomes '&gt;'  
    
    return htmlspecialchars($data, ENT_QUOTES, $encoding);
       
}

很明显源码中用了htmlspecialchars()这个函数,码一波:

htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。

预定义的字符是:

& (和号)成为 &amp
" (双引号)成为 &quot
' (单引号)成为 &#039
< (小于)成为 &lt
> (大于)成为 &gt

能力有限,只能观摩一波,浅尝辄止。

Super_Yiang
关注
专栏目录
bwapp官方最新版本
03-20
1. **bWAPP_intro.pdf**:这很可能是bwapp的介绍文档,详细阐述了bwapp的背景、功能、设计理念以及如何使用这个平台。用户可以通过阅读此文档来了解bwapp的基本信息和应用场景。 2. **README.txt**:这是一个标准的...
bwapp通关(全完结)
11-16 617
bwapp
bwapp下载与搭建(使用phpstudy搭建)
weixin_44794112的博客
05-06 5553
bwapp下载与搭建(使用phpstudy搭建) 文章主要对电脑已安装了MySQL和apache,解决使用phpstudy搭建bwapp时产生的问题 bwapp搭建有多种方法,可以看看其他文章挑选适合电脑环境的方法 文章目录bwapp下载与搭建(使用phpstudy搭建)一、bwapp下载二、phpstudy下载安装1.官网下载2.启动apache3.将bwapp放入phpstudy中4.启动MySQL5.bwapp的访问6.一些其他错误 一、bwapp下载 bwapp的GitHub下载链接:https
bWAPP靶场安装
最新发布
CheatMyself的博客
07-03 444
打开:D:\ProgramFiles\phpstudy_pro\WWW\bWAPP-master\app\admin下的settings.php,的数据库账号密码。百度网盘地址:链接:https://pan.baidu.com/s/1Y-LvHxyW7SozGFtHoc9PKA。链接:https://pan.baidu.com/s/1pr9v0_p6mgChvWcIx1dn7g。git地址:https://github.com/raesene/bWAPP。–来自百度网盘超级会员V5的分享。
搭建BWAPP靶场(详细过程)
m0_52701599的博客
03-22 2784
搭建BWAPP靶场(详细)
Bwapp平台的介绍与搭建方法
qq_45756971的博客
10-30 3946
先来介绍一下bwapp bwapp是一款非常好用的漏洞演示平台,包含有100多个漏洞 SQL, HTML, iFrame, SSI, OS Command, XML, XPath, LDAP, PHP Code, Host Header and SMTP injections Authentication, authorization and session management issues Malicious, unrestricted file uploads and backdoor files
【靶场搭建】bWAPP网页版、虚拟机、Docker搭建方法(附带下载链接)
05-09 4013
【靶场搭建】bwapp
测试靶场bWAPP安装部署
seanyang_的博客
09-04 802
bWAPP(Buggy Web Application)是一个用于学习和练习网络应用安全的漏洞测试平台。它是一个开源的虚拟机或Docker映像,旨在为安全研究人员、开发人员和学生提供一个实践和演示各种Web应用漏洞的环境。bWAPP包含了许多已知的Web应用程序漏洞,例如跨站点脚本(XSS)、SQL注入、命令注入、文件包含等。使用bWAPP,用户可以模拟和实际测试这些漏洞,并了解如何发现、利用和修复它们。bWAPP具有用户友好的界面,可以根据不同的安全级别来配置和管理漏洞。
bWAPP漏洞测试环境.rar
04-06
1. **Web应用漏洞测试基础**: 在网络安全领域,Web应用漏洞测试是确保网站安全性的重要环节。它包括识别和修复代码中的安全漏洞,如SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)等。bWAPP提供了这些漏洞的模拟...
bWAPP源码docker安装.zip
08-12
bwapp源码,下载该源码,然后通过docker在本地进行安装,也可以直接在网上拉取镜像。bwapp源码,下载该源码,然后通过docker在本地进行安装,也可以直接在网上拉取镜像。
bWAPP V2.2:第1课:下载并准备bWAPP虚拟机
11-17
### bWAPP V2.2:第1课:下载并准备bWAPP虚拟机 #### 一、bWAPP简介 bWAPP是一款非常实用且知名的漏洞演示平台,全称Buggy Web Application Project(越野车的Web应用程序)。该平台由Malik Mesellem创建,并在...
bWAPP_intro.pdf
01-30
BWAPP靶场环境介绍PPT,bWAPP包含了100多个漏洞环境,几乎涵盖了所有的漏洞类型。
bWAPP通关记录(A1)
qq_39670065的博客
08-16 1775
安装 这里使用的是phpstudy进行搭建的 先下载bWAPP 打开解压之后bWAPP目录下的admin中的settings.php 将数据库连接名和密码改为与phpmyadmin相同的,保存 浏览器访问 点击here 点击Login,默认密码bee/bug A1 - InjectionHTML Injection - Reflected (GET)HTML Injection - Reflected (POST)HTML Injection - Reflected (Current URL )H
bWAPP靶场——下载与安装(Windows最全)
热门推荐
weixin_45923850的博客
10-22 1万+
###下载
bwapp通过教程
玄道的网安博客
05-02 1万+
用户名:bee,密码:bug,点击start登录后即可进行相应测试。 HTML Injection - Reflected (GET) 那我们直接开始第一题吧 这里有两个框让我们输入,先看看源码 这里把我们输入的fistname和lastname直接带进htmli了 Htmli是按照我们等级来给函数的,我们看看no_check函数 没有过滤就直接输入了,所以我们直接...
Web安全:bWAPP 靶场搭建.(集成了各种常见漏洞和最新漏洞的开源Web应用程序)
网络安全领域___专研者.
06-15 3289
bWAPP是一个集成了了常见漏洞的 web 应用程序,目的是作为漏洞测试的演练场,帮助安全爱好者,开发人员和学生发现和防止Web漏洞。它有超过100个网络漏洞数据,包括所有主要的已知网络漏洞.
Bwapp靶场下载安装
seanyang_的博客
10-25 380
bWAPP(Buggy Web Application)是一个用于学习和测试Web应用程序安全的漏洞性Web应用程序。bWAPP通过提供多种常见Web应用程序漏洞(例如跨站点脚本(XSS)、SQL注入、文件包含等)来帮助用户了解和熟悉常见的安全问题。需要把mysql的版本换成5.7的,否则会报错。确认后直接点击BWAPP的打开网站。默认账号和密码为bee,bug。
bWAPP靶场搭建——直接使用虚拟机镜像导入配置
CoffeMilk的博客
12-27 2932
bWAPP是一款非常好用的免费的、开源漏洞演示学习平台;它有100多个网络错误!且它涵盖了所有已知的主要web漏洞,包括OWASP Top 10项目的所有风险。bWAPP是一个使用MySQL数据库的PHP应用程序;它可以通过Apache/IIS和MySQL托管在Linux/Windows上。WAMP或XAMPP支持它。也可以下载bee-box镜像(即bee-box镜像是一个预先安装了bWAPP靶场的定制虚拟机环境,开箱即用,十分方便)。
bWAPP V2.2:入门教程:搭建与准备虚拟机
第1课的核心内容是关于如何下载和准备bWAPP虚拟机。bWAPP V2.2 是bWAPP系列的最新版本,它集合了多个操作系统环境,包括BackTrack(现在被称为Kali Linux)、CentOS、Fedora、卡利1.0、Ubuntu等,以及常见的安全工具...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值