目录
环境搭建 efucms-master
前期条件:已安装phpstudy
下载efucms-master之后安装
将efucms-master复制到靶机中,并更改config.php.sample为config.php
修改数据库密码和数据库用户
数据库密码和用户要改为phpstudy的用户和密码才能成功连接
本次环境中使用的是
'DB_PWD'=>'123456',
'DB_USER'=>'root'
替换_htaccess
phpstudy中网站设置
安装phpMyAdmin4.8.5
进入目录下的phpMyAdmin下查看,但是在win7靶机的IE浏览器中不能查看完整界面
进入浏览器中查看,看到完整界面
输入用户名和密码
root 123456 看到管理内部
创建数据库
之前在配置文件中知道数据库名,efucms
导入efucms.sql数据库
sql表在efucms-master路径下
进入网站首页查看
进行XSS攻击
插入script语句
随便选择一篇文章进行评论
管理员登录后台查看
点击评论管理发现XSS成功
使用XSS平台进行测试
https://xss.yt/
再次XSS攻击
管理员再次查看评论
在xss平台看到cookie
使用cookie登录后台
靶场多网站
之前的文章搭建了DVWA
将之前的两个网站都搭建上,路径跟之前演示的一样,但是端口不一样
两个靶场使用一个数据库用户,但是用户创建的数据库不同
访问结果
创建成功