DVWA靶场--CSRF漏洞修改目标的密码(low)

已于 2022-02-21 15:32:20 修改
阅读量5.7k 收藏 5
点赞数 1
文章标签: 安全 web安全
于 2022-02-21 14:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53623242/article/details/123041256
版权

作业准备:

1、Jdk环境

2、BurpSuite抓包

3、搭建DVWA靶场

4、phpStudy(Apache和MySQL都已配置)

5、kali虚拟机

6、CSRF虚拟机

CSRF漏洞修改目标的密码

1、输入新的密码,可以看到密码可以被修改

2、输入密码,开始抓包

右键 -> Engaement tools -> Generate CSRF Poc

 

 3、获取到修改密码对应的数据包,修改password_new和password_conf两个字段,然后点击生成Copy HTML

4、在kali新建一个html文件粘贴上一步Copy的内容,保存

  5、查看kali虚拟机IP地址,利用Python3开启Web服务

IP:192.168.116.134

6、访问放在黑客服务器上的CSRF Payload文件

访问     kali虚拟机IP:8888

  

7、点击之后可以看到密码被更改

墨迹33
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DVWA 靶场CSRFlow
qq_14902381的博客
08-15 1430
dvwa靶场csrf利用
dvwa问题篇 -- dvwa忘记密码,重置密码 -- 小黑解决教程
G_WEB_Xie的博客
12-27 2425
各位小伙伴初次玩dvwa会出现各种问题,本来想把一些问题直接总结写一篇dvwa文章来着,但因为都是关键字搜索,所以将一些问题都拆分出来,以便大家方便查类似问题。(大家有遇到不一样的问题欢迎投稿!访问localhost/DVWA-master/setup.php 点击Create / Reset Database. 重置数据库。在某次做csrf实验中,把dvwa密码改了,在登录页面一直跳转....然后就可以登录dvwa了,默认的账户密码是admin/password。
dvwa问题篇 -- dvwa忘记密码,重置密码 -- 小黑解决教程_dvwa账号密码(1)
2401_84968303的博客
05-16 657
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
dvwa问题篇 -- dvwa忘记密码,重置密码 -- 小黑解决教程_dvwa账号密码
最新发布
2401_84968371的博客
05-16 522
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
DVWA密码忘记解决方法
m0_61506558的博客
09-08 1051
我当时学习逻辑漏洞的时候把admin密码改了,后来发现有5个用户都可以登入:
webug4.0靶场之越权修改密码
0nc3的博客
06-25 1057
0x00 准备工作 1.先修改/control/auth_cross/cross_auth_passwd.php第17行代码为下图代码 2.查看user表,发现有两个账号可供测试 0x01 测试过程 用aaaaa账户登录网站后台系统,进入越权漏洞修改密码页面。 输入正确旧密码和新密码,可成功修改密码。 再尝试输入错误的旧密码qweasd,看系统是否会对输入的旧密码进行判断正误(现在的旧密码...
DVWA-安装-漏洞测试-漏洞修复指南.docx
05-17
DVWA-安装-漏洞测试-漏洞修复指南-需要安装 xpmpp或WampServer。
DVWA靶场环境---新手入坑
10-28
DVWA靶场环境---新手学习web安全的必备靶场之一,DVWA (Dam Vulnerable Web Application)是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞
DVWA靶场环境搭建-dvwa.rar
10-15
DVWA靶场环境文件
kali2021.3安装dvwa靶场
02-24
标题中的“kali2021.3安装dvwa靶场”是指在Kali Linux 2021.3版本中安装DVWA(Damn Vulnerable Web Application)的过程,这是一个广泛用于Web...在DVWA靶场中,可以模拟真实的漏洞环境,进行练习和提升自己的技能。
DVWA-master.zip_DVWA_php_漏洞_靶场
09-24
php攻防练习靶场,多种漏洞组合,练习代码审计,避免开发出现漏洞
dvwa的登录默认用户和密码
weixin_45266077的博客
05-06 6660
dvwa靶场忘记登入密码的解决方法
weixin_60530860的博客
06-22 4349
dvwa数据库的密码使用md5进行加密了,我们要使用工具来解密,我这里使用的是在线网站解密。进入数据库并查询所有表,然后可见有一个users的表,再查询表中的内容。命令:mysql -uroot -p(password)如果进行修改或者其操作如渗透,不小心就会把默认密码修改。如:mysql -uroot -p123456。默认账号密码:admin/password。可看到有一个对应我们dvwa靶场的数据库。这样我们隔段时间不用就会忘记登入的密码。可见登入dvwa靶场密码是1。
Web安全:跨站请求伪造(CSRF)测试和利用.
网络安全领域___专研者.
02-18 4397
CSRF漏洞的 概括: CSRF(跨站请求伪造)漏洞的原理:攻击者是通过用户浏览了攻击者构造的链接,从而达成一个攻击的目的。主要的作用是:浏览器的安全策略是允许页面发送到任何地址的请求,攻击者可以控制页面的内容来控制浏览器 发送攻击者精心构造的请求.
CSRF漏洞原理与防御方式
dreamthe的博客
09-17 2022
CSRF漏洞原理 CSRF被叫做跨站请求伪造,该怎么理解这句话呢,比如 用户a在浏览器登录了账号,当他发送登录请求时候,服务器验证了账号密码,会返回给一个身份信息存放在cookie里面,浏览器保存,那么以后用户访问服务器带着这个cookie就行了。那么怎么产生攻击的呢,是用户在已经登录的状态下,访问了一个恶意的网站,带浏览器保存的cookie值向服务器发送了恶意请求,服务器会以为是用户的请求,其实这是用户不知情的请求。垮了两个站,一个是用户登录实际网站,一个屙屎攻击者恶意构造网站,所以称作跨站请求伪造。
web安全-dvwa搭建
wangzhao19960517的博客
06-09 2171
web安全-dvwa搭建
DVWA靶场搭建
AlienEowynWan的博客
11-17 651
DVWA文件解压并且放到phpstudy的WWW文件夹中
DVWA——CSRF
weixin_51559599的博客
11-13 1258
这样解决了上种方法在请求中加入 token 的不便,同时,通过 XMLHttpRequest 请求的地址不会被记录到浏览器的地址栏,也不用担心 token 会透过 Referer 泄露到其他网站中去。可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。可以利用这一点漏洞,可以想办法在恶意网站的地址中添加带有 Web1 主机地址的字段。
kali搭建dvwa靶场php-gd
09-25
要在Kali上搭建DVWA靶场并启用php-gd模块,您可以按照以下步骤进行操作: 1. 首先,安装php-gd模块。在终端中输入以下命令: ``` sudo apt install php-gd -y ``` 如果此命令不起作用,您可能需要先更新apt,输入以下命令: ``` sudo apt update ``` 2. 接下来,编辑php.ini文件以启用allow_url_include。在终端中输入以下命令: ``` sudo vim /etc/php/7.4/apache2/php.ini ``` 在打开的文件中,找到allow_url_include并将其修改为on。保存并关闭文件。 3. 最后,将DVWA靶场文件移动到/var/www/html/dvwa目录下。在终端中输入以下命令: ``` sudo mv DVWA-master /var/www/html/dvwa ``` 完成以上步骤后,您就成功在Kali上搭建了DVWA靶场并启用了php-gd模块。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值