bWAPP闯关系列(搭建+HTML Injection)~

最新推荐文章于 2023-01-21 15:15:15 发布
最新推荐文章于 2023-01-21 15:15:15 发布
阅读量2.5k 收藏 2
点赞数 3
分类专栏: bWAPP靶场 文章标签: 安全 xss 依赖注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55648772/article/details/120563132
版权

目录

前言

一、搭建环境

二、闯关啦~

1.HTML Injection - Reflected (GET)

Low级别

Medium级别

High级别

2.HTML Injection - Reflected (POST)

3.HTML Injection - Reflected (URL)

Low级别

 Medium级别

High级别

 4.HTML Injection - Stored (Blog)

Low级别

medium级别

High级别

5.iFrame Injection

 Low级别

 medium级别

High级别

总结


前言

小🐏的第一篇博客新鲜出炉啦~

bWAPP是一个很全且很受欢迎的靶场 很多师傅强推&最近超喜欢玩靶场 就来玩玩呐~

bWAPP特点:

  • 开源的php应用
  • 后台Mysql数据库
  • 可运行在Linux/Windows Apache/IIS
  • 支持WAMP或者XAMPP

一、搭建环境

网盘链接:bWAPP
提取码:d77g

下载好后在 WWW\bWAPP\admin\settings.php  中配置数据库

不知道为啥我的 settings.php 为只读文件 然后我就将mysql数据库密码改为bug啦(懒羊羊再现)

进入127.0.0.1/bWAPP/install.php  点击 here 创建bWAPP数据库 否则就会报错呐~

 接着登录吧!(●'◡'●) 127.0.0.1/bWAPP/login.php

用户名:bee 密码:bug

接下来就开始进入关卡闯关啦~



二、闯关啦~



1.HTML Injection - Reflected (GET)

HTML injection && XSS
在XSS攻击期间,攻击者有机会注入并执行Javascript代码,而HTML注入只是使用HTML标签修改页面内容。

Low级别

直接在First name&&Last name中进行xss注入

<script>alert('xiao')</script>  <script>alert('yang)</script>

就可以有弹窗呐~

 

最低0.47元/天 解锁文章
小小yangaaa~
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bWAPP HTML Injection (HTML注入)
angry_program的博客
02-24 1738
前言 bwapp靶场每一种类型都分为3种等级: Low, Medium, High 这边我就按照类型归类写, 方便查阅。 话不多说, 直接lu靶场 0x01 HTML injection Reflected GET 分析网站: Low Low等级没有任何防护, 直接注入即可: Medium 在Medium等级中, 继续进行注入的话, 会发现&lt...
bWAPP源码docker安装.zip
08-12
bwapp源码,下载该源码,然后通过docker在本地进行安装,也可以直接在网上拉取镜像。bwapp源码,下载该源码,然后通过docker在本地进行安装,也可以直接在网上拉取镜像。
bWAPP--HTML Injection
hee_mee的博客
09-11 232
zeronil
1.bWAPP HTML Injection (HTML注入)
自强不息
01-21 553
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
OWASP 之 HTML Injection
weixin_30550271的博客
08-06 131
Summary   HTML injection is a type of injection issue that occurs when a user is able to control an input point and is able to inject arbitrary(任意) HTML code into a vulnerable web page. This vulnerab...
bWAPP靶场之HTML Injection(GET)
0nc3的博客
08-30 437
0x00 前言 最近想把bwapp通关~~冲鸭! 0x01 测试过程 先随便输入一下,发现输入的名字会输出到页面上 1.Low 由于会输出输入的名字,我们先尝试一下能不能弹框,OK~~ payload:?firstname=<script>alert(1)</script>&lastname=ruanruan&form=submit 再尝试引入外链 p...
Html-Injection:简单HTML注入扫描程序
04-19
HTML注入扫描器免责声明:此项目是出于教育目的而创建的,不应在没有... Git克隆: git clone https://github.com/Gaurav-Jadhav/Html-Injection.git cd Html-Injection参数: -url = Plase enter valid URL example: ...
spring+springmvc+hibernate框架搭建项目+jar包
07-17
本项目是一个整合了这三个框架的Eclipse工程,方便开发者快速搭建一个完整的后端应用。 Spring框架是Java企业级应用的核心,它提供了依赖注入(Dependency Injection,DI)和面向切面编程(Aspect-Oriented ...
Maven-maven多模块项目搭建+SSM框架整合.zip
12-27
在IT行业中,构建大型复杂应用时,有效地管理项目的依赖关系和构建流程至关重要。"Maven-maven多模块项目搭建+SSM框架整合"的主题聚焦于使用Maven进行多模块项目结构的搭建,并整合Spring、Spring MVC和MyBatis(SSM...
管理系统系列--Spring+Springmvc+mybatis搭建人事管理系统.zip
最新发布
02-25
在本项目"管理系统系列--Spring+Springmvc+mybatis搭建人事管理系统.zip"中,我们将探讨如何使用Spring、SpringMVC和MyBatis这三大核心技术构建一个完整的人事管理信息系统。这三个框架是Java企业级开发中非常流行的...
BWAPP(buggy web Application
02-01
buggy web Application 这是一个集成了各种常见漏洞和最新漏洞的开源Web应用程序,目的是帮助网络安全爱好者、开发人员和学生发现并防止网络漏洞。包含了超过100种漏洞,涵 盖了所有主要的已知Web漏洞,包括OWASP Top10安全风险,最重要的是已经包含了OpenSSL和ShellShock漏洞。
SpringMVC+JPA+Spring+maven框架搭建
08-24
在“SpringMVC+JPA+Spring+maven框架搭建”的案例中,我们首先需要设置Maven项目结构,包括src/main/java、src/main/resources和src/main/webapp等目录。然后在pom.xml文件中引入Spring、Spring MVC、Spring Data ...
html %3ca%3e 动态效果,bWAPP练习--injection篇之HTML Injection - Reflected (GET)
weixin_30921373的博客
06-03 557
什么是Injectioninjection,中文意思就是注入的意思,常见的注入漏洞就是SQL注入啦,是现在应用最广泛,杀伤力很大的漏洞。什么是HTML injection?有交互才会产生漏洞,无论交互是怎么进行的。交互就是网页有对后台数据库的读取或前端的动态效果。HTML文件并不是像大家想的那样没有任何交互,在HTML文件里还是会用到一些JavaScript来完成自己需要的一些动态效果,例如,地...
一次简单的html injection导致的Gmail 0day[完全修正版]
瞎几把学
08-03 7998
一次简单的html injection导致的Gmail 0day[完全修正版]这个漏洞在国庆前就已经发现,后来国庆回来发现google改版了,这个漏洞就被google意外修复了,就没有发布漏洞细节,但是最近发现google再次改版就又改回来了,正好我上次提到html injection(http://www.loveshell.net/blog/blogview.asp?logID=246),
【low】Bee-box writeup---html injection-reflected(get)
Ray
03-22 1263
1 html injection-reflected(get) 0x00: 因为题目是HTML注入,所以看到登录框不要以为是sql注入了,特意查看页面源代码,请求方式是get,处理页面是本页显示,所以根本没有数据库交互,源码其他的就是加载一些css样式和一些Google js的apl了。源码截图如下:   0x01: 当然接下来就进入正题了,既然是HTML注入,那就在输入框中输入
html页面注入教程,html注入的入门教程
weixin_35941591的博客
06-03 1522
HTML injection的背景:1 现在的XSS就是跨站脚本***一般都是在有服务器交互的情况下在客户端产生的一些问题,那么在没有服务器交互的情况下呢?2 另外就是很多人都认为html文件是绝对安全的,那么真的是这样么?什么是HTML injection:有交互才会产生漏洞,无论交互是怎么进行的,HTML文件并不是像大家想的那样没有任何交互,在HTML文件里还是会用到一些javascrip...
bwapp通过教程
热门推荐
锋刃科技的博客
05-02 1万+
用户名:bee,密码:bug,点击start登录后即可进行相应测试。 HTML Injection - Reflected (GET) 那我们直接开始第一题吧 这里有两个框让我们输入,先看看源码 这里把我们输入的fistname和lastname直接带进htmli了 Htmli是按照我们等级来给函数的,我们看看no_check函数 没有过滤就直接输入了,所以我们直接...
BWAPP搭建和通关(html部分)
h0ld1rs的博客
08-12 979
docker搭建遇到的问题 数据库未建立 Connection failed: Unknown database 'bWAPP' 搭建完毕打开的时候,会提示这么个东西,我们只需要打开install.php就能成功建立 登录 默认用户名bee、密码bug HTML Injection - Reflected (GET) low 先说下htmli和xss的区别,xss插入的是js代码,htmli插入的则是html标签,我觉得原理是一样的,无非是细分了一下实现插入的代码之间的差别,htmli可以用于误导用户
跟bWAPP学WEB安全(PHP代码)--PHP代码注入
weixin_30454481的博客
01-09 282
---恢复内容开始--- 背景 今天我们换一个方式来分析这个漏洞,从渗透的角度去搞。 渗透过程 测试漏洞 先来看看,观察URL是:http://192.168.195.195/bWAPP/phpi.php message像是有链接,点击看看 在查看url是http://192.168.195.195/bWAPP/phpi.php?message=test,GET型参数,burp扫一下...
PS D:\cabinControlSpace\011601.honda_hc4.0_cabincontrol> powershell -command "& {[System.Windows.Forms.SendKeys]::SendWait('{SCROLLLOCK}'); Start-Sleep -Milliseconds 100; [System.Windows.Forms.SendKeys]::SendWait('{SCROLLLOCK}');}" 找不到类型 [System.Windows.Forms.SendKeys]。 所在位置 行:1 字符: 4 + & {[System.Windows.Forms.SendKeys]::SendWait('{SCROLLLOCK}'); Start-S ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : InvalidOperation: (System.Windows.Forms.SendKeys:TypeName) [],RuntimeException + FullyQualifiedErrorId : TypeNotFound 找不到类型 [System.Windows.Forms.SendKeys]。 所在位置 行:1 字符: 94 + ... tart-Sleep -Milliseconds 100; [System.Windows.Forms.SendKeys]::SendWa ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : InvalidOperation: (System.Windows.Forms.SendKeys:TypeName) [],RuntimeException + FullyQualifiedErrorId : TypeNotFound
06-03
很抱歉,看起来你的操作系统并不支持使用powershell命令中的[System.Windows.Forms.SendKeys]类。这个类是用于发送按键事件的,如果它没有被找到,你将无法实现模拟鼠标滚轮滑动的功能。 你可以尝试使用其他语言或工具来实现相同的功能,例如AutoHotkey或VBScript。如果你使用的是Windows 10,你可以考虑使用Windows.UI.Input.Preview.Injection命名空间中的API来模拟鼠标滚轮滑动。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值