這篇博客就是爲了記下bee-box做題過程,隨便記記,免得忘了
安裝
先去官網下載了,然後分個新的盤單獨放進去,打開虛擬機,雙擊bee-box.vmx就能安裝了
打開裏面的火狐會自動跳去一個登錄界面,默認賬號和密碼是bee/bug,登錄然後就能做題了
我是美麗的分割線-------------------------------------
接下來講漏洞
HTML Injection Reflected (GET)
First name輸入<a href=http://www.baidu.com>click here!!!</a>,Last name任意,發現可以回顯一個超鏈接,然後點擊了確實可以去到百度,證明這個頁面對數據沒有過濾好,可以插入任意代碼,導致html注入成功
HTML Injection Reflected (POST)
這裏跟剛剛的get方法的沒什麼區別,也沒沒有過濾好,可以插入任意代碼