1.直接把靶机拖进虚拟机中,用kali探测IP
2.进入浏览器
3. 查看网页源代码后什么也没有后,扫描端口
4. 进入81端口
5.进入bp爆破后 爆破不到账号密码,进入kali进行爆破
6.回到浏览器进入到/graffiti.php,有输入框尝试xss,存在xss漏洞
7.进行抓包,看到/graffiti.txt文件后,进入后看到前台输入的数据都会保存,
8.构造一个一句话木马,保存
9.发现存在,去蚁剑连接,成功访问到后台
1.直接把靶机拖进虚拟机中,用kali探测IP
2.进入浏览器
3. 查看网页源代码后什么也没有后,扫描端口
4. 进入81端口
5.进入bp爆破后 爆破不到账号密码,进入kali进行爆破
6.回到浏览器进入到/graffiti.php,有输入框尝试xss,存在xss漏洞
7.进行抓包,看到/graffiti.txt文件后,进入后看到前台输入的数据都会保存,
8.构造一个一句话木马,保存
9.发现存在,去蚁剑连接,成功访问到后台