bee-box

最新推荐文章于 2023-12-16 17:56:37 发布
最新推荐文章于 2023-12-16 17:56:37 发布
阅读量4.6k 收藏 9
点赞数
分类专栏: bwapp 文章标签: beebox
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaorouji/article/details/82763559
版权
这篇博客记录了使用bee-box进行安全测试的过程,包括HTML Injection、OS Command Injection等漏洞的利用方法。从安装到实战,详细介绍了每种类型的攻击手段,如HTML注入通过反射和存储方式,以及iframe注入、LDAP注入、邮件头注入等。此外,还涉及了不同级别命令注入的解决策略,包括盲注情况下的shell获取技巧。
摘要由CSDN通过智能技术生成

这篇博客就是为了记下bee-box做题过程,随便记记,免得忘了

安装

先去官网下载了,然后分个新的盘单独放进去,打开虚拟机,双击bee-box.vmx就能安装了

打开里面的火狐会自动跳去一个登录界面,默认账号和密码是bee/bug,登录然后就能做题了

我是美丽的分割线-------------------------------------

接下来讲漏洞

HTML Injection Reflected (GET)

First name输入<a href=http://www.baidu.com>click here!!!</a>,Last name任意,发现可以回显一个超链接,然后点击了确实可以去到百度,证明这个页面对数据没有过滤好,可以插入任意代码,导致html注入成功

HTML Injection Reflected (POST)

这里跟刚刚的get方法的没什么区别,也没没有过滤好,可以插入任意代码

HTML Injection Reflected (url)

这题看源码可以看到是会将数据包的host拿下来,然后拼接到url去进行访问,所以只要抓包改包就能进行任意访问了

HTML Injection Stored (Blog)

这题进去看见一个类似留言板的东西,直接在里面加个a标签发现是可以进行访问

最低0.47元/天 解锁文章
Xi4or0uji
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java猜数字游戏源码-awesome-vulnerable:可用作渗透测试实践实验室的易受攻击的应用程序和系统的精选列表
06-05
bee-box 是预装 bWAPP 的自定义 Linux VM。 - CloudGoat 是 Rhino 安全实验室的“设计易受攻击”AWS 部署工具 - 一组网页,容易受到命令注入缺陷的影响。 - CryptOMG 是一个可配置的 CTF 风格的测试平台,它突出了...
beebox靶场A3 low级别 xss通关教程(三)
dj445566的博客
12-11 705
本文为beebox(小蜜蜂)系列靶场,大家多理解xss注入的思路以及方法,为日后渗透时注入xss打下基础
Bee-Box 虚拟机下载及安装
Peter 的博客
09-07 9530
Bee-Box 虚拟机下载及安装 Bee-box官方称呼BWAPP,buggy web Application 这是一个集成了各种常见漏洞和最新漏洞的开源Web应用程序,目的是帮助网络安全爱好者、开发人员和学生发现并防止网络漏洞。包含了超过100种漏洞,涵盖了所有主要的已知Web漏洞,包括OWASPTop10安全风险,最重要的是已经包含了OpenSSL和ShellShock漏洞。 ...
利用bee_box 平台测试端口扫描
qq_42057250的博客
12-31 1299
一、软件硬件平台 操作系统:windows 7、windows 2003、bee-box v1.6、windows 10 硬件平台:12g内存 软件:Firefox、xampp、hackbar、vmware workstations 二、端口扫描 安装bee-box Bee系统是一个Ubuntu系统,但是对命令行界面的操作不多,不需要过多的配置,使用web进行远程操作所以使用起来是相当方便...
beebox靶场A1 low 命令注入通关教程(中)
dj445566的博客
12-15 956
本文为beebox(小蜜蜂)系列靶场的A1命令注入,大家多注意思路
beebox靶场A1 low 命令注入通关教程(下)
最新发布
dj445566的博客
12-16 973
本文为beebox(小蜜蜂)系列靶场A1 LOW级别命令注入的解题思路与方法,大家多多练习
利用平台漏洞
2301_78833225的博客
07-02 123
3.用nmap 上带的ssl-heartbleed.nse脚本对目标机器进行扫描看是否存在heartbleed漏洞:(使用nmap的ssl-heartbleed.nse脚本扫描bee-box靶机的8443端口,看是否看是否存在heartbleed漏洞)2.用nmap -O 192.168.xx.xx(填入bee-box的IP) 查看一下开放端口,找到https-alt的端口:(在kali,也就是攻击主机中扫描bee-box,查看bee-box的开放端口,目的是找到https-alt的端口。
Enderek-s_packages:在这里您可以找到我所有的BEE2软件包
04-08
Box Catcher此项目的工作原理类似于蓝色门户中的Box catcher。 将多维数据集插入其中后,它将关闭并激活输出。 此外,该项目接受可能会阻止它的输入,因此您不能在其中插入多维数据集。 有关更多详细信息,请检查其...
hb-showcase:hb-showcase
05-24
这个模板应该使您开始一个新的基于Honeybee的项目。 在主机系统上安装 先决条件: 创建用于开发的虚拟机: git clone git@github.com:berlinonline/hb-showcase.git cd hb-showcase git submodule update --init ...
momocode:通过表情符号对20字节以太坊地址进行可视指纹识别
02-05
:cat_face::camel::honeybee::woman’s_clothes::candy: :tulip::crocodile::bento_box::spouting_whale::graduation_cap: :paw_prints::mouse::ox::man::balloon: 根据设计注意,此编码不提供,例如,输入哈希值的...
北京版一年级英语上下学期知识点汇总-.pdf
10-10
4. 动物:动物词汇如bee(蜜蜂),cat(猫),mouse(老鼠),fish(鱼),bird(小鸟),deer(鹿)和dog(狗)等,有助于孩子们识别和描述常见的动物。 5. 身体部位:foot(脚),knee(膝盖),eyes(眼睛),...
Bee-box1.6 虚拟机镜像包及键盘设置
n5xxxx__zy的博客
07-15 1296
下载地址:https://pan.baidu.com/s/1CCtQZ5kYDQx-IsvoHlo3Zg 密码:al5k 键盘设置如下:
Bee-Box 靶场搭建和键盘乱序问题
maxle的博客
04-14 1612
bWAPP - Browse /bee-box at SourceForge.netan extremely buggy web app !https://sourceforge.net/projects/bwapp/files/bee-box/官网如上: 解压后 VMware文件处去相应的解压目录打开或者扫描虚拟机都可以。 直接打开虚拟机,不需要登陆用户直接进入虚拟机,直接打开左上角的火狐浏览器,进入一个登陆界面。 用户bee,密码bug 键盘乱码解决:system-->...
靶场环境搭建
94小菜
12-27 967
bwapp靶场环境搭建
SSRF之bee-box练习
qq_43571759的博客
02-29 1980
SSRF (Server-side Request Forgery,服务器请求伪造)漏洞,是一种攻击者构造请求,是一种攻击者发起的伪造由服务器发起请求的一种攻击。 SSRF危害 * 端口扫描 * 利用file文件协议 读取本地文件 * 内网web 应用指纹识别 * 攻击内网web 端口扫描和读取文件的危害会在等下练习的时候体现出来; 漏洞发现: 其中对外发起网络请求的地方都可能存在SSRF漏洞...
bee-box之XSS攻击(附上篇总结)
qq_43571759的博客
03-20 3301
bwapp的xss练习笔记附上篇总结 前言 一个月前刷了XSSchalleng以为自己已经算是入门了XSS了,但是在我挖洞碰到有可能存在XSS漏洞网页的时候,发现我只能记起来<script>alert('xss')</script> 等等最基本的,绕过方式忘得一干二净,果然一句话说得好!对于我这种没有天赋的人,重复就是记忆它妈!!! 再就是上次刷题的我居然没有总结,那可是我...
beebox靶场A1 low 命令注入通关教程(上)
dj445566的博客
12-14 1600
本文为beebox(小蜜蜂)靶场系列A1的low级别的命令注入和各种注入的集合,大家多多掌握方法和思路
Bee-box之键盘乱序问题
Ray
03-21 2892
Bee-box官方称呼BWAPP,buggy web Application 这是一个集成了各种常见漏洞和最新漏洞的开源Web应用程序,目的是帮助网络安全爱好者、开发人员和学生发现并防止网络漏洞。包含了超过100种漏洞,涵盖了所有主要的已知Web漏洞,包括OWASPTop10安全风险,最重要的是已经包含了OpenSSL和ShellShock漏洞。 1 安装bee-box v1.6镜像到VM
虚拟机kaliping不上bee-box
06-01
在虚拟机kal中ping不通bee-box可能是由于以下几个原因导致的: 1. 虚拟机kal与bee-box不在同一个网络:请确保虚拟机kal和bee-box处于同一个网络中,例如通过桥接模式或NAT模式连接到同一个网络。 2. 虚拟机kal的IP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值