beebox靶场A3 low级别 xss通关教程(三)

最新推荐文章于 2024-06-11 19:45:00 发布
最新推荐文章于 2024-06-11 19:45:00 发布
阅读量683 收藏 8
点赞数 15
文章标签: xss 前端 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dj445566/article/details/134934178
版权

十一:xss user-agent

开启burp抓包拦截修改user-agent ,在最后面加上xss脚本

即可成功

十二:xss存储型 blog

直接在提交框里输入xss脚本,然后这段代码就存在了数据库中

在每次刷新后就可以看到存储的漏洞代码

十三:xss 存储型 change secret

本关为更新密钥,在输入框内直接输入xss脚本会显示密钥已改变

接下来我们访问 /bWAPP/sqli_16.php 重新登陆,点击提交后就会执行这个xss代码

十四:xss存储型 cookie

第一步burp抓包拦截,把genre后的action改为xss脚本,下面cookie的movie_genre的后面也改为那个xss脚本

该完后的样子为

接下来访问http://192.168.150.129/bWAPP/smgmt_cookies_httponly.php 这个网页来验证我们刚刚改的内容,点击那个cookie

就可以看到我们刚刚输入的xss代码

十五:xss存储型 user-agent

在这个页面使用burp抓包拦截

把其中的user-agent内容替换为xss代码

然后放行即可触发xss代码

dj445566
关注
  • 15
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
cloudbeebox:Trello PowerUp提供Cloud Beebox支持
03-17
cloudbeebox Trello PowerUp提供Cloud Beebox支持。
Bee-Box 靶场搭建和键盘乱序问题
maxle的博客
04-14 1531
bWAPP - Browse /bee-box at SourceForge.netan extremely buggy web app !https://sourceforge.net/projects/bwapp/files/bee-box/官网如上: 解压后 VMware文件处去相应的解压目录打开或者扫描虚拟机都可以。 直接打开虚拟机,不需要登陆用户直接进入虚拟机,直接打开左上角的火狐浏览器,进入一个登陆界面。 用户bee,密码bug 键盘乱码解决:system-->...
bwapp通关(全完结)
hxhxhxhxx的博客
10-20 1万+
bwapp/ A1 - Injection /HTML Injection - Reflected (GET)HTML Injection - Reflected (POST)HTML Injection - Reflected (Current URL)HTML Injection - Stored (Blog)iFrame InjectionLDAP Injection (Search)【待开化】 ---------------------- bWAPP v2.2 -----------------
bee-box
Xi4or0uji
09-18 4632
这篇博客就是为了记下bee-box做题过程,随便记记,免得忘了 安装 先去官网下载了,然后分个新的盘单独放进去,打开虚拟机,双击bee-box.vmx就能安装了 打开里面的火狐会自动跳去一个登录界面,默认账号和密码是bee/bug,登录然后就能做题了 我是美丽的分割线------------------------------------- 接下来讲漏洞 HTML Injection ...
靶场环境搭建
94小菜
12-27 920
bwapp靶场环境搭建
渗透测试练习靶场汇总
Thunderclap的博客
07-01 1万+
渗透测试 练习常用靶场汇总
Beebox for Java-开源
05-03
该软件包是Java的开发软件包,可在Java平台上使用BeeBox
beebox_detect_wang_cam_tset(实验).py
04-23
beebox_detect_wang_cam_tset(实验).py
bwapp通关教程
qq_45756971的博客
11-01 5892
** HTML Injection - Reflected (GET) ** low: 低级漏洞中,输入数据没有做校验 First name: <script>alert( 'xss' )</script> Last name: <script>alert( 'xss' )</script> 出现xss即为成功。 medium 和low一样,但发现被全部显示 抓包,会发现符号<>均被编码 0,1,2分别对应个等级 找见对应的/bWAPP/bw
bWAPP靶场实战
Kevin's Blog
05-15 2841
文章目录一、靶场介绍二、靶场搭建2.1 安装类型2.2 独立安装、漏洞实战SSRF远程文件包含端口扫描 一、靶场介绍   集成了超过100余个网络漏洞,php web漏洞靶场,能够调制漏洞难度等级(低->中->高)。 二、靶场搭建 下载:https://sourceforge.net/projects/bwapp/ 2.1 安装类型 搭建类型有两种:(虚拟机版本可测试测漏洞类型更多,比如破壳、心脏滴血) 独立安装(部署到apache + php +mysql环境下) 虚拟机安装(bee
渗透测试攻防练习实验室 (资源分享,国外在线教程
热门推荐
关注互联网安全的小虾米一枚
07-26 2万+
Vulnerable Web Applications Vulnerable Web Applications BadStore http://www.badstore.net/ BodgeIt Store http://code.google.com/p/bodgeit/ Butterfly Security Project ht
解决靶机Bee-Box 键盘乱序问题
Sylon的博客
08-28 989
Bee-Box介绍 Bee-box官方称呼BWAPP,buggy web Application 这是一个集成了各种常见漏洞和最新漏洞的开源Web应用程序,目的是帮助网络安全爱好者、开发人员和学生发现并防止网络漏洞。包含了超过100种漏洞,涵盖了所有主要的已知Web漏洞,包括OWASPTop10安全风险,最重要的是已经包含了OpenSSL和ShellShock漏洞。 解决方法 System ...
实战靶场整理
weixin_39811856的博客
07-22 2042
0x00 前言 在学习渗透测试的过程中,光学理论知识是不够的,还需要结合实战来进行学习。但是国家法律是不允许我们对互联网上的web站在未授权的情况下进行渗透测试的,所以我们只能通过自己搭建环境来进行学习。下面给大家分享一些靶场,免得大家再去寻找。 0x01Vulnerable Web Applications BadStore http://www.badstore.net/ BodgeIt Store http://code.google.com/p/bodgeit/ Butt.
webug4.0靶场之SSRF
0nc3的博客
06-26 1475
0x00 SSRF测试 简单测试一下,包括下列内容: 使用file协议获取 探测内网端口 进入靶场直接404?? 修改下URL的路径进入首页 0x01 使用file协议读取 使用file协议获取C盘的/Windows/win.ini的内容。 0x02 探测内网端口是否开放 测一下小蜜蜂虚拟机是否开放SSH服务 ...
【JavaScript】小蜜蜂
编程记录,亲测有效
02-25 3588
小蜜蜂这么经典的游戏,相信大家在FC红白机里面肯定玩过,你或许忘记了这个游戏的名字,但我相信你若干年之后重新看回这个游戏,一定会唤起童年记忆。这游戏看起来很复杂,但是用JavaScript也可以轻轻松松把它写出来。就像上次的《【JavaScript】贪吃蛇》(点击打开链接)一样,关键是解决好几个核心问题,就能写出来。没用到什么复杂、生疏的方法,还是那句大神级的setInterval。 一
bWAPP通关记录(A1)
qq_39670065的博客
08-16 1327
安装 这里使用的是phpstudy进行搭建的 先下载bWAPP 打开解压之后bWAPP目录下的admin中的settings.php 将数据库连接名和密码改为与phpmyadmin相同的,保存 浏览器访问 点击here 点击Login,默认密码bee/bug A1 - InjectionHTML Injection - Reflected (GET)HTML Injection - Reflected (POST)HTML Injection - Reflected (Current URL )H
BWAPP:一款非常好用的漏洞演示平台
公众号shadow sock7
06-14 5145
参考: http://www.freebuf.com/sectool/76885.html https://www.vulnhub.com/entry/bwapp-bee-box-v16,53/
SSRF之bee-box练习
qq_43571759的博客
02-29 1977
SSRF (Server-side Request Forgery,服务器请求伪造)漏洞,是一种攻击者构造请求,是一种攻击者发起的伪造由服务器发起请求的一种攻击。 SSRF危害 * 端口扫描 * 利用file文件协议 读取本地文件 * 内网web 应用指纹识别 * 攻击内网web 端口扫描和读取文件的危害会在等下练习的时候体现出来; 漏洞发现: 其中对外发起网络请求的地方都可能存在SSRF漏洞...
bee-boxXSS攻击(附上篇总结)
qq_43571759的博客
03-20 3135
bwapp的xss练习笔记附上篇总结 前言 一个月前刷了XSSchalleng以为自己已经算是入门了XSS了,但是在我挖洞碰到有可能存在XSS漏洞网页的时候,发现我只能记起来<script>alert('xss')</script> 等等最基本的,绕过方式忘得一干二净,果然一句话说得好!对于我这种没有天赋的人,重复就是记忆它妈!!! 再就是上次刷题的我居然没有总结,那可是我...
33 _ 跨站脚本攻击(XSS):为什么Cookie中有HttpOnly属性?
最新发布
qq_46143850的博客
06-11 944
XSS全称是Cross Site Scripting,为了与“CSS”区分开来,故简称XSS,翻译过来就是“跨站脚本”。XSS攻击是指黑客往HTML文件中或者DOM中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。最开始的时候,这种攻击是通过跨域来实现的,所以叫“跨域脚本”。但是发展到现在,往HTML文件中注入恶意代码的方式越来越多了,所以是否跨域注入脚本已经不是唯一的注入手段了,但是XSS这个名字却一直保留至今。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值