Debian 6 vweb for pentester XSS第一关

最新推荐文章于 2024-03-04 08:00:00 发布
最新推荐文章于 2024-03-04 08:00:00 发布
阅读量146 收藏
点赞数
分类专栏: vweb for pentester XSS 文章标签: html css web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38290986/article/details/120493765
版权
本文介绍了Debian 6 vwebpentester平台的第一关XSS挑战,涉及了多种XSS触发方式,包括按钮点击、字体鼠标悬停、下拉选项点击、链接点击及文本框键盘按键触发XSS。
摘要由CSDN通过智能技术生成

首先连接上靶机

 

 

 

第一关答案

<button type="button" οnclick=alert('xss')>通过按钮点击触发xss</button>

<font size="4" color="blue" οnmοuseοver=alert('xss')> 移动到元素触发xss </font>

<br>
<select> <option οnclick=a

最低0.47元/天 解锁文章
雪傲天1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Debian 6 vweb for pentester XSS第二关至第四关
学习
09-30 138
通过改变大小写,成功通关 第三关 首先测试,过滤掉的东西 发现过滤掉了</> <script></script>,根据过滤掉的东西,进行构造 第三关答案 <sc<script>ript>alert('xss')</sc</script>ript> 第四关 先检查过滤掉了哪些东西 由此可知,不能出现script,不然会出现error 所以我们可以换个标签 ...
XSS闯关之第一关
weixin_33958366的博客
05-15 236
开启第一关 这是一个get传值的界面,没有任何文本框之类的东西,所以可以直接在url地址栏中来进行***。在地址栏中输入<script>alert(1)</script>,得到弹框查看一下php的源码文件可以看到,变量str接受到传来的参数没有进行过滤,直接echo出来,所以我们可以构造简单的payload。总结:没有添加任何函数进行过滤,典型的漏洞。可以直接构造任意可弹框...
XSS闯关——第一关:level1
老夏家的云
11-09 2171
第一关:level1   这里的payload为4,查看地址栏与之对应的传参为test   页面没有输入的地方,所以可以直接在地址框注入JavaScript脚本   回车过关:        ...
Xss-labs(1)第一关到第十一关
m0_46412408的博客
09-25 730
Xss-labs靶场训练第一关:查看页面源代码回显playload长度:插入一段js代码,get传参,一个简单的插入顺利来到第二关,二话不说先直接尝试插入,并没有成功:查看页面源代码:特殊字符被实体转义了我们需要闭合掉双引号即可,构造payload,这一关是闭合绕过来到第三关,随便输入一个闭合弹窗试试,符号也被实体化了:查看php源码。
pikachu XSS 通关手册
tj2718647721的博客
07-23 181
alert(document.cookie)
Debian6 Mysql5.6 deb安装包
01-28
Debian6 Mysql5.6 deb安装包及相关依赖,亲测可用(libaio,libaiodev,debian-keyring) 安装方式: sudo dpkg -i mysql-5.6.10-debian6.0-x86_64.deb sudo /opt/mysql/server-5.6/support-files/mysql.server start ...
debian-server:完整的DebianUbuntu Web应用服务器安装
02-05
Debian 7/8 Web服务器的一组定制的软件安装脚本。 其中包括用于NGINX,MariaDB,MongoDB,MySQL,PHP 5/7,Redis,CouchDB,Fail2Ban,Monit,XtraBackup,OpenSSL,创建和设置bash环境以及使用iptables的防火墙的...
ssa:小型Debian和Ubuntu服务器的Web面板
02-06
这个控制面板适用于小型Debian和Ubuntu服务器。 与服务器的交互是通过SSH执行的。 面板具有模块化结构。 一个可以轻松创建新模块或增强现有模块。 产品特点 用户管理: 查看,创建,编辑和删除用户。 网站管理:...
debian6配置mysql允许远程连接的方法(图)
09-10
Debian 6这样的Linux操作系统上配置MySQL允许远程连接,是很多系统管理员和开发者必须掌握的技能。本篇文章将详细讲解如何在Debian 6上设置MySQL远程访问权限。 首先,确保您已经安装了MySQL服务器。在Debian 6中...
Master PDF Editor 5.8.52 for Debian/Ubuntu
05-31
deb 安装包,适用于 Debian 9 - 11 / Ubuntu 18.x - 22.x 已注册,即装即用无限制。
Xss小游戏通关攻略带解释
sirius的博客
08-28 5468
Xss小游戏通关攻略 实验环境:xss小游戏源码+phpstudy 源码地址:https://files.cnblogs.com/files/Eleven-Liu/xss%E7%BB%83%E4%B9%A0%E5%B0%8F%E6%B8%B8%E6%88%8F.zip 实验步骤:启动phpstudy,浏览器访问127.0.0.1/xss/后提示点击图片进入第一关第一关:输入的变量直接被输出,直接构造payload即可。 http://127.0.0.1/xss/level1.php?.
Debian 6 vweb for pentester XSS第六关
学习
10-01 113
直接查看源代码 <script> var $a= "<?php echo $_GET["name"]; ?>"; </script> 通过 GET 方式传入的 name 变量,直接输出在了script标签里面 可以尝试闭合前面的双引号",然后直接调用alert方法来弹窗,末尾再使用双引号"闭合后面的双引号。 第七关 啥反应都没有 查看源码 <script> var $a= '<?ph...
Web for PentesterI 代码注入-实战篇
u011975363的专栏
04-25 1290
本文主要是根据官网和网上的教程进行实战,详细讲解请参照 1、https://pentesterlab.com/exercises/web_for_pentester/course 2、http://www.freebuf.com/sectool/168653.html 关于代码注入的相关知识:代码注入的原理,检测,利用,下次在补充。 一、example1 1、判断是否存在注入,在url...
XSS-Labs靶场“1-5”关通关教程
最新发布
钟言的博客
03-04 7046
本篇为XSS-Labs靶场的第1-5关教程,详细内容包含了:一、了解XSS 1、认识XSS攻击 2、XSS攻击危害 3、XSS攻击防御 4、反射型XSS 5、常用XSS攻击语何二、第一关 不做限制三、第二关 逃逸双引号四、第三关 单引号绕过五、第四关 过滤第五关a标签绕过六、等等内容
xss-labs靶场一到十关
zxcvbnm123456x的博客
06-26 816
xss的靶场地址为:http://test.ctf8.com/需要先打开phpstudy才能进行练习。
xss challenges 闯关(1-5)
zsynbw的博客
10-28 1128
xss challenges 1-5闯关详细过程
渗透测试之XSSxss-labs 1-10关总结
白帽子九一
11-18 951
XSS原理: 全称跨站脚本,某种意义上也是一种注入攻击,指攻击者在被攻击的页面上注入恶意脚本代码,受害者访问该页面时,恶意代码会在用户的浏览器上执行。xss不仅扩展javascript代码,还包括flash等其他脚本语言。xss攻击针对的是客户端的攻击,受害者是用户,网站管理员也是用户之一,攻击者可以假冒管理员身份对网站实施攻击。 产生的危害有: 盗取cookie,修改网页内容,网页挂马,利用网页重定向,xss蠕虫。 第一关: 没有输入框,那直接在url中写入一段js代码试试(get型): <scri
DC-6 靶机渗透
Rex_Surprise的博客
05-10 186
DC-6靶机渗透 1.渗透过程 2. 重要信息: THEEND~ DC-6靶机渗透1.渗透过程 写在前面: 靶机介绍内容提取: NOTE: You WILL need to edit your hosts file on your pentesting device so that it reads something like: ...
【vulnhub】---DC-6靶机
qq_43168364的博客
08-21 655
目录 一、实验环境 二、信息收集 三、渗透测试   1、漏洞发现和利用   2、提权 四、总结 一、实验环境 靶机:靶机(192.168.15.154) 攻击机:kali Linux(192.168.15.129) 二、信息收集 主机发现 命令:nmap -sn 192.168.15.0/24 命令:netdiscover -i eth0 -r 192.168.15.0/24 端口扫描 版本探测和操作系统识别 web指纹识别 网站目录扫描 三、渗透测试 1、漏洞发现和利用 2、提权 四、总结 渗
Debian6详细安装与配置步骤
"debian6安装和配置指南" Debian 6,又称为Squeeze,是Debian项目的一个稳定版本,发布于2011年。这篇指南详细介绍了如何在个人计算机上安装和配置这个Linux发行版。 一、安装前准备 在安装Debian 6之前,你需要先...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值