【low】Bee-box writeup---html injection-reflected(get)

最新推荐文章于 2023-12-14 20:17:43 发布
最新推荐文章于 2023-12-14 20:17:43 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: web安全 文章标签: web漏洞测试平台
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hard_lushunming/article/details/64920373
版权

1 html injection-reflected(get)

0x00:

因为题目是HTML注入,所以看到登录框不要以为是sql注入了,特意查看页面源代码,请求方式是get,处理页面是本页显示,所以根本没有数据库交互,源码其他的就是加载一些css样式和一些Google js的apl了。源码截图如下:

 

0x01:

当然接下来就进入正题了,既然是HTML注入,那就在输入框中输入恶意的js代码看看效果;当然你可以输入:<script>alert('xss')</script>,输入后页面将会执行js代码执行弹窗;再查看源码,并没有对输入的恶意字符串进行过滤和编码;成功注入到HTML中:


0x02:

HTML注入的危害都有1:引起页面错乱,破坏结构;2:影响SEO,pr高的网址,如果链到你的网站,可以加大自己网站的权重,这也是为什么有人喜欢在高pr的网站灌水的原因了;

接下来开始灌水了:

<ahref=http://www.mi.com>百度一下,你就知道</a>【会显示在前端】

<ahref="http://www.mi.com" style="display:none;">百度一下,你就知道</a>【前端不显示】

如图所示:成功注入到HTML中,可以点击连接跳到别的网站:

查看源代码成功注入:

 

 

xiaomi_qwe
关注
专栏目录
HITCON-Training-Writeup:https的简要说明
04-29
HITCON培训 我为做了简短的 有关Linux二进制开发的信息,请参见。 环境设定 git clone ...cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh 大纲 基础知识 介绍 ... 面向返
1.bWAPP HTML Injection (HTML注入)
若把此心以学道,即身成佛有何难
01-21 632
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
html %3ca%3e 动态效果,bWAPP练习--injection篇之HTML Injection - Reflected (GET)
weixin_30921373的博客
06-03 571
什么是Injectioninjection,中文意思就是注入的意思,常见的注入漏洞就是SQL注入啦,是现在应用最广泛,杀伤力很大的漏洞。什么是HTML injection?有交互才会产生漏洞,无论交互是怎么进行的。交互就是网页有对后台数据库的读取或前端的动态效果。HTML文件并不是像大家想的那样没有任何交互,在HTML文件里还是会用到一些JavaScript来完成自己需要的一些动态效果,例如,地...
bWAPP HTML Injection (HTML注入)
angry_program的博客
02-24 1760
前言 bwapp靶场每一种类型都分为3种等级: Low, Medium, High 这边我就按照类型归类写, 方便查阅。 话不多说, 直接lu靶场 0x01 HTML injection Reflected GET 分析网站: Low Low等级没有任何防护, 直接注入即可: Medium 在Medium等级中, 继续进行注入的话, 会发现&lt...
html页面注入教程,html注入的入门教程
weixin_35941591的博客
06-03 1566
HTML injection的背景:1 现在的XSS就是跨站脚本***一般都是在有服务器交互的情况下在客户端产生的一些问题,那么在没有服务器交互的情况下呢?2 另外就是很多人都认为html文件是绝对安全的,那么真的是这样么?什么是HTML injection:有交互才会产生漏洞,无论交互是怎么进行的,HTML文件并不是像大家想的那样没有任何交互,在HTML文件里还是会用到一些javascrip...
bWAPP通关记录(A3~xss)
qq_39670065的博客
08-16 1434
@[TOC](A3- Cross-Site Scripting (XSS)) Cross- Site Scripting - Reflected (GET) Cross-Site Scripting - Reflected (POST) Cross-Site Scripting - Reflected (JSON) Cross-Site Scripting - Reflected (AJAX/JSON) Cross-Site Scripting - Reflected (AJAX/XML) Cross-Si
wani-writeup:大阪大学CTF团队Wani Hackase提供的CTF解决方案
04-30
Wani Hackase撰写 大阪大学CTF团队Wani Hackase提供的CTF解决方案 这是大阪大学CTF团队Wani Hackase的写存储区。 如何使用 /YYYY/MM-eventName/problemFormat-problemName/README.md # Example ...
GKCTF2021-官方WriteUp.pdf
07-06
【标题】:GKCTF2021-官方WriteUp.pdf 【描述】:GKCTF2021-官方WriteUp.pdf 【标签】:wp writeup 这些标题和描述表明,文件是一份关于GKCTF2021(一个网络安全竞赛,CTF代表Capture The Flag)的官方攻略...
D3CTF2022-官方WriteUp1
08-03
"D3CTF2022-官方WriteUp1" 本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInjectWeb 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User...
2022-工大抗疫-web-writeup1
08-03
2022-工大抗疫-web-writeup1 本资源摘要信息聚焦于Web安全和网络协议相关知识点,涵盖了HTML、PHP、网络协议和Windows操作系统等多个方面。 一、网络协议 在Web开发中,网络协议扮演着重要角色。HTTP/1.1是目前最...
Web安全防护基础篇:HTML Injection - Reflected (GET)
success_error的专栏
12-30 3667
Web安全防护基础篇:HTML Injection - Reflected (GET) 现在大部分的网站数据提交用到了Form表单,而如果程序员在未对表单提交的数据进行验证时,会有那些危害性呢? 本文案例为Form表单的Get方式提交,分为安全等级为低等,中等,高等三个层次进行说明。 1:安全等级-低等(未进行任何字符处理) 例如: form action="SCRIPT_NAME
bWAPP靶场之HTML Injection(GET)
0nc3的博客
08-30 453
0x00 前言 最近想把bwapp通关~~冲鸭! 0x01 测试过程 先随便输入一下,发现输入的名字会输出到页面上 1.Low 由于会输出输入的名字,我们先尝试一下能不能弹框,OK~~ payload:?firstname=<script>alert(1)</script>&lastname=ruanruan&form=submit 再尝试引入外链 p...
beebox靶场A1 low 命令注入通关教程(上)
最新发布
dj445566的博客
12-14 1613
本文为beebox(小蜜蜂)靶场系列A1的low级别的命令注入和各种注入的集合,大家多多掌握方法和思路
html注入的入门教程
weixin_34364071的博客
07-08 397
HTML injection的背景: 1 现在的XSS就是跨站脚本***一般都是在有服务器交互的情况下在客户端产生的一些问题,那么在没有服务器交互的情况下呢? 2 另外就是很多人都认为html文件是绝对安全的,那么真的是这样么? 什么是HTML injection: 有交互才会产生漏洞,无论交互是怎么进行的,HTML文件并不是像大家想的那样没有任何交互,在HTML...
BWAPP靶场-HTML injection-Reflected(GET)
asmartrman的博客
05-01 498
0x00 知识储备 HTML注入,就是当用户进行输入时,服务器没有对用户输入的数据进行过滤或转义,导致所有输入均被返回前端,网页解析器会将这些数据当作html代码进行解析,这就导致一些恶意代码会被正常执行。 0x01 Low 首先输入1和1测试一下 发现结果正常出现在页面上,直接试一试XSS <script>alert(1)</script>1 还可以尝试超链接 <a href="http://www.baidu.com">111</a&.
bWAPP闯关系列(搭建+HTML Injection)~
weixin_55648772的博客
10-03 2579
bWAPP靶场闯关(html篇)
OWASP 之 HTML Injection
weixin_30550271的博客
08-06 138
Summary   HTML injection is a type of injection issue that occurs when a user is able to control an input point and is able to inject arbitrary(任意) HTML code into a vulnerable web page. This vulnerab...
lowBee-box writeup---html injection reflected(post)
Ray
03-22 1452
2 HTML injection-reflected(post) 0x00: Firefox下插件hackbar来提交post参数;如图: 0x01: 在表单提交1,1,看返回我们并不能看到post参数,虽说看源码可以找到;但是我还是更相信另一个工具burp;接下用burp抓包查看post参数值: 图中蓝色的便是post参数:firstname,lastname,fo
server新手引导 sql_新手入门靶机BEEBOX教程—第一章A1(二)
weixin_39915308的博客
12-17 671
0x00 Preface [前言/简介]接着上一篇文章,更新BEE-BOX第一章A1题目,有不理解这些靶机是哪儿的小伙伴,传送门:新手入门靶机BEE-BOX教程—环境搭建(一)0x01 BEE-BOX习题:A1-Injection原理今天所更新的是A1,关于注入漏洞。在A1中有HTML页面注入、OS命令注入、SQL注入等比较经典注入。我们在学习的时候,首先要先理解他们的原理,这些漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值