本文档详细介绍了如何在Kali Linux中安装BeEF,并展示了在本地搭建GalleryCMS服务器的过程。在配置过程中遇到了数据库错误,通过修改数据库结构解决了问题。此外,还探讨了如何利用SVG标签进行XSS攻击的限制长度绕过,并提出了通过特殊字符缩短域名长度的技巧。
一、kali中安装beEF
用户名是:beef
密码是自己刚才登陆前输入的密码,成功后就是下面的界面。
二、本机搭建galleryCMS的服务器
1、打开小皮中的Apache和MySQL
2、 修改phpstudy_pro\WWW\localhost\GalleryCMS-2.0\application\config/database.php文件
如果报错为124,则修改phpstudy_pro\WWW\localhost\GalleryCMS-2.0\system\database/DB_driver.php
同时打开数据库里面添加gallerycms数据库
因为打开gallerycms注册之后会报错,说明还是有点问题
所以咱们直接在数据库里面添加,添加之前在数据库中要修改user表的结构,输入
alter table user modify last_ip varchar(100) not null default '127.0.0.1';
要不然直接添加会报错
这样就成功了!!
然后刷新一下网页,成功登入进来
3、限制长度35字符绕过
我们将源码中的45改为35
虽然xss-clean过滤了很多标签,但是他还没有过滤掉< svg >标签,所以我们使用< svg>标签进行一个测试。
发现我们添加成功,所以我们用svg标签来进行绕过,接下来就是解决字符的长短
我们能看到就这些已经29个字符了,所以我们只能通过修改域名长度,通过一个字符来代替三个字符,用来实现短域名绕过。
℠ expands to sm
㏛ expands to sr
st expands to st
㎭ expands to rad
℡ expands to tel
ff expands to ff
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
