这篇博客就是为了记下bee-box做题过程,随便记记,免得忘了
安装
先去官网下载了,然后分个新的盘单独放进去,打开虚拟机,双击bee-box.vmx就能安装了
打开里面的火狐会自动跳去一个登录界面,默认账号和密码是bee/bug,登录然后就能做题了
我是美丽的分割线-------------------------------------
接下来讲漏洞
HTML Injection Reflected (GET)
First name输入<a href=http://www.baidu.com>click here!!!</a>,Last name任意,发现可以回显一个超链接,然后点击了确实可以去到百度,证明这个页面对数据没有过滤好,可以插入任意代码,导致html注入成功
HTML Injection Reflected (POST)
这里跟刚刚的get方法的没什么区别,也没没有过滤好,可以插入任意代码
HTML Injection Reflected (url)
这题看源码可以看到是会将数据包的host拿下来,然后拼接到url去进行访问,所以只要抓包改包就能进行任意访问了
HTML Injection Stored (Blog)
这题进去看见一个类似留言板的东西,直接在里面加个a标签发现是可以进行访问