准备 1,dvwa源码压缩包 和 蓝莲花源码压缩包(GitHub官网下载即可) 2,phpstudy 集成环境(需要注意一些服务的版本)
搭建步骤
打开小皮,开启Apache 和mysql 服务,mysql 版本需要选择 5.x版本: 然后搭建 dvwa ,将 dvwa的源码压缩包解压到网站根目录 WWW :
将 dvwa 文件下的 config 中的config.inc.php.dist 重命名为 config.inc.php : 并修改其中的数据库名,数据库用户名以及密码,自定义,保存并退出: 然后进入 phpstudy,在网站一栏新建网站:
网站建成后,打开网站,默认用户名是 admin, 密码是 password,即可登录: 登录后在页面中找到 set databases 按钮来生成dvwa平台的数据库,一般在页面底部位置;
搭建蓝莲花 xss 数据接收平台的步骤与 dvwa 平台搭建步骤相同,只需要注意在 配置 这个页面,后台登录密码 以及 数据加密密码自定义,然后 勾选上 接收邮件通知,其余默认即可; 蓝莲花登录后界面 :
简单提一提 蓝莲花 配合 dvwa 平台做 xss,用接收的 cookie 无账号密码登录dvwa平台;
1,首先新建一个模板来做测试: 生成 payload: 2,登录 dvwa 平台,将难度调到 low 级别: 找到存储型 XSS, XSS(Stored): 在 Name 输入框随意输入,在 Message 一栏粘贴刚刚复制的 js,但是粘贴之前要注意,由于这里存在一个字符输入的长度限制,所以 F12,编辑HTML ,将长度限制删除,再粘贴提交: 提交之后,再回到 XSS 数据接收平台,成功接收一个 cookie信息: 再利用 这个 PHPSESSID ,重新开一个浏览器来打开 dvwa 登录界面平台,替换 PHPSESSID 的值:
访问 dvwa: 成功用cookie登录!
