Bt5的XSS漏洞探测

(..•˘_˘•..) 版权声明:转载原创文章请以超链接形式请注明原文章出处,尊重作者,尊重原创! (..•˘_˘•..)某些网站的小编真的是眼瞎! 转载注明出处!求求你了!

实验之前请先阅读这篇文章:https://www.idaobin.com/explain

任务描述:
使用W3AF扫描定V公司Mutillidae应用P167,实现图4-8效果

任务环境说明:

攻击机:BT5
靶机:Web 服务器靶机
攻击机安装服务/工具1:W3AF
攻击机安装服务/工具2:firefox
攻击机安装服务/工具3:
攻击机安装服务/工具4:

实现步骤:

1.    启动W3AF

cd /pentest/web/w3af/
./w3af_console

启动w3af
2.    使用W3AF扫描定V公司Mutillidae应用

plugins
audit xss
discovery webSpider
discovery config webSpider
set onlyForward True
back
target
set target http://10.10.10.129/mutillidae
back
plugins
output htmlFile
output config htmlFile
set verbose True
set fileName mutillidae.html
back
back
start
exit

w3af扫描Mutillidae应用

参数:
plugins 进入插件模块
audit xss 启动xss插件
discovery webSpider 启动webSpider插件(webSpider插件用于爬取网站中的每个页面)
discovery config webSpider 对webSpider插件的配置
set onlyForward True 设置爬取域名下的具体某个页面 false为爬取域名下的所有页面
back 返回上一个模块
target 进入配置域名或ip地址的模块
set target http://10.10.10.129/mutillidae 设置目标地址
output htmlFile 将扫描结果储存为文件
output config htmlFile 对扫描结果的储存形式进行配置
set verbose True 设置运行时显示详细信息
set fileName mutillidae.html 设置储存文件为mutillidae.html并储存在W3Af的主目录下
start 根据以上配置进行扫描
exit 退出W3AF

3.    将扫描结果的储存文件用浏览器打开

在W3AF的主目录下输入firefox mutillidae.html,火狐浏览器弹出mutillidae.html页面

Firefox mutillidae.html

火狐浏览器打开mutillidae页面
扫描结果如下:

mutillidae扫描结果

原文链接:https://www.idaobin.com/archives/694.html

既然都复制粘贴转载了,就不能打赏一点…ヘ( ̄ω ̄ヘ)

支付宝 ——————- 微信
图片加载中图片加载中

发表评论

电子邮件地址不会被公开。 必填项已用*标注

+ 9 = 18