Django靶场注入用户信息

已于 2022-06-13 18:49:19 修改
阅读量611 收藏
点赞数
分类专栏: 安全渗透 文章标签: django python
于 2022-05-13 14:24:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64118193/article/details/124749958
版权

主要考察密码爆破

Django靶场Django: the Web framework for perfectionists with deadlines.

要求:

sql注入考题,利用漏洞django-cve_2019_14234,向系统里写一个以自己班级名字命名的文件。

1.进入靶场出现界面

使用函数authentucate(认证客户端)认证存在用户

由下图可知,存在用户admin

2.用户登录

 登录界面网址Log in | Django site admin

进入登录界面 ,已知信息 用户admin 未知信息 密码

使用Burpsuite专业版进行爆破

2.1Burpsuite爆破

开启本机代理功能127.0.0.1:8080

使用火狐浏览器的插件Foxyproxy开启代理功能

 返回靶场的登录界面进行开启代理进行抓包

Burpsuite获取到的信息

右击鼠标Send  to Intruder,之后进入position界面

 右侧clear清除变量,保留变量password,爆破方式sniper

进入 payload界面 ,我选择使用字典爆破,我下载了6000常用密码字典,如需使用,请去官网上进行下载

点击load..加载桌面上已下载的字典

 右上角开始进行爆破

 根据长度观察,密码为a123123123

进入网站Log in | Django site admin

3.注入用户信息

添加用户user

 添加上用户信息

 添加成功

K.A.L
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Django注入
Ren59421的博客
05-13 576
Django靶场Django: the Web framework for perfectionists with deadlines. 要求: sql注入考题,利用漏洞django-cve_2019_14234,向系统里写一个以自己班级名字命名的文件。 1.进入靶场出现界面 由下图可知,存在用户admin 2.用户登录 进入登录界面 ,已知信息 用户admin 未知信息 密码 使用Burpsuite专业版进行爆破 2.1Burpsuite爆破 ...
Django注入信息
jxy191021的博客
05-13 249
1进入靶场 输入网址:Django: the Web framework for perfectionists with deadlines.进入靶场 2登录 输入Log in | Django site admin进入登录页面 2.1 查找用户名 利用authentucate(认证客户端)函数,认证存在的用户 输入http://110.40.154.100:8000/authentucate查找存在的用户 由上图可知这里的用户名为admin 2.2查找密码 打开ka.
Django如何使用jwt获取用户信息
09-17
主要介绍了Django如何使用jwt获取用户信息,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
利用漏洞django-cve_2019_14234。
jhf223344的博客
05-13 596
靶机地址:http://110.40.154.100:8000 1、在浏览器进入 靶机地址 进入界面输入admin密码a123123123 然后添加用户名 就完成了
Django】搭建Django administration
qq_40625543的博客
02-09 505
Django】搭建Django administration并登录 解决办法
django administration 小记
weixin_30677073的博客
08-31 106
一、在modlues模块中添加如下代码 from django.db import models from django.utils import timezone from django.contrib.auth.models import User # Create your models here. class BlogArticles(models.Model): ...
Django SQL注入 (CVE-2022-28346)
weixin_46801402的博客
11-01 1074
Django SQL注入 (CVE-2022-28346)
Django注入用户信息
weixin_67830340的博客
05-13 436
第一步 查看用户 第二步 已知用户admin未知密码对密码暴力破解 第三步 登录用户 第四步 添加完成用户信息
Django之sql注入,XSS攻击,CSRF攻击原理及防护
time
06-21 5727
sql注入的危害非法操作用户数据库的数据来获取利益,通过修改数据库来修改网页的内容,注入木马等未完待续
django框架防止XSS注入的方法分析
09-19
主要介绍了django框架防止XSS注入的方法,结合实例形式分析了XSS攻击的原理及Django框架防止XSS攻击的相关操作技巧,需要的朋友可以参考下
解决django 新增加用户信息出现错误的问题
09-18
今天小编就为大家分享一篇解决django 新增加用户信息出现错误的问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
django使用JWT保存用户登录信息
09-17
主要介绍了Django使用jwt获取用户信息的实现方法,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
django学生信息管理系统
03-11
django学生信息管理系统 简易的Django写了个学生信息管理系统 练习上手demo
django sqlmp注入
weixin_67353463的博客
05-13 168
1.靶场地址:http://110.40.154.100:8000/ 2.进入靶场 http://110.40.154.100:8000/admin 3.利用authenticate()会返回一个报错页面,同时告诉我们有一个管理员admin 4.打开bursip,设置代理进行抓包 5. 导入字典,会告诉一个正确的密码(自己在网络上下载) 6.登录 ...
django-sql注入攻击
最新发布
随风逆流的蒲公英的博客
06-18 387
什么是sql注入注入本质上就是把输入的数据变成可执行的程序语句,所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。攻击者通过在应用程序预先定义好的SQL语句结尾加上额外的SQL语句元素,欺骗数据库服务器执行非授权的查询,篡改命令。它能够轻易的绕过防火墙直接访问数据库,甚至能够获得数据库所在的服务器的系统权限。在Web应用漏洞中,SQL Injection 漏洞的风险要高过其他所有的漏洞。
djongo sql注入漏洞(CVE-2021-35042)
qq_49279082的博客
02-23 195
Django SQL注入漏洞复现(CVE-2021-35042)
xiaobai_20190815的博客
04-08 6342
一、漏洞介绍 Django 组件存在 SQL 注入漏洞,该漏洞是由于对 QuerySet.order_by()中用户提供数据的过滤不足,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行 SQL 注入攻击,最终造成服务器敏感信息泄露。利用方式:1、用户认证:不需要用户认证 2、触发方式:远程,属于高危漏洞。 二、影响版本 Django 3.2 Django 3.1 三、源码分析 在add_ordering()函数中,进行如下了五个判断:字段中是否带点、字段是否为问号、字段开头是否
django中安全sql注入
reblue520的专栏
12-16 381
模拟sql注入 使用原生sql语句编写login登录逻辑 class LoginUnsafeView(View): def get(self, request): return render(request, "login.html", {}) def post(self, request): user_name...
Django修改用户个人信息
04-07
要修改Django中的用户个人信息,需要进行以下步骤: 1.创建一个视图函数来处理用户信息的更新请求。 2.在视图函数中使用Django的内置User模型和表单来处理用户信息的更新。 3.验证表单的数据是否有效,并根据需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

K.A.L

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值