Dvwa中等级的SCRF修改密码

于 2024-07-11 16:30:00 发布
阅读量222 收藏
点赞数 1
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73496792/article/details/140327632
版权

Dvwa中等级的SCRF修改密码

首先我们用burp自带的浏览器打开dvwa,然后随便输入什么例如输入123和1234,。

然后我们找到我们刚才抓到的包,并右键将他发送到重发器(repeater):

然后我们在referer中添加,注意这边只要添加自己IP.html就可以,没必要一定有这个文件,

然后将密码修改成123456,123456就可以了。

点击发送,我们就发现密码修改 成功了,可以通过Test Credentials验证

总结,其实这个去看代码就会发现,这个代码和low等级的只是添加了一个检验referer里面是不是有自己的ip而已,所以我们只需要在referer里面人工改一下就可以了。网上有文章说还要去建一个文件叫自己的ip.html,实际上根本没有这个必要。

星河花开
关注
DVWA靶场搭建
AlienEowynWan的博客
11-17 712
DVWA文件解压并且放到phpstudy的WWW文件夹
DVWA_暴力破解low等级攻略
Keiltest的博客
07-13 1213
是一个与刚入门计算机的同伴互相探讨相互请教的资源
dvwa问题篇 -- dvwa忘记密码,重置密码 -- 小黑解决教程_dvwa账号密码
2401_84968371的博客
05-16 1031
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
dvwa问题篇 -- dvwa忘记密码,重置密码 -- 小黑解决教程
G_WEB_Xie的博客
12-27 2916
各位小伙伴初次玩dvwa会出现各种问题,本来想把一些问题直接总结写一篇dvwa文章来着,但因为都是关键字搜索,所以将一些问题都拆分出来,以便大家方便查类似问题。(大家有遇到不一样的问题欢迎投稿!访问localhost/DVWA-master/setup.php 点击Create / Reset Database. 重置数据库。在某次做csrf实验,把dvwa密码改了,在登录页面一直跳转....然后就可以登录dvwa了,默认的账户密码是admin/password。
关于dvwa万能密码的问题解决
weixin_50464560的博客
03-01 1805
关于dvwa万能密码的问题解决 1、Brute Force下的结果及原因 1.1、结果 图一 图二 1.2、原因 在Brute Force源码用红笔括号起来的代码表示从数据库得到的结果只有一条才符合条件 而在数据库查询图一的username有不止一条结果符合,查询到超过一条结果,所以图一错误 在数据库查询图二的username只有一条结果符合,所以图二正确 2、login.php登录界面的结果及原因 2.1、结果 2.2、原因 在login.php源码用红笔括号起来的代码表示从数据库
owaspbwa dvwa的登录口令
weixin_34226182的博客
06-21 2080
下载了OWASP BWA(Broken Web Application)的虚拟机,先从DVWA开始练习,无奈第一步登录界面的Username和Password怎么都不是网上所说的admin和password,甚至DVWA的安装说明文档也是错误地给的admin和password。经过一番周折才发现登录界面的Password已经改成了admin,备忘一下。到BWA靶机dvwa...
DVWA学习记录系列(四)SCRF 跨站伪造请求模块
qq_43696276的博客
10-17 898
提示:本文主要针对于SCRF 跨站伪造请求全等级的分析以及相应的破解。 文章目录前言一、CSRF是什么?二、使用步骤1.引入库2.读入数据总结 前言 本次主要针对于DVWA的跨站伪造请求模块进行学习。主要进行的是dvwa的low、medium、high级别进行破解,由于impossible模块难度过高所以都将不进行impossible的实验。本次CSRF的high级别将会放至之后的存储xss漏洞进行讲解。 一、CSRF是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数
DVWA标靶安装和low等级暴力破解账号密码
最新发布
07-02
DVWA标靶安装和low等级暴力破解账号密码
DVWA等级通关指南-超详细版
陈京九的个人博客
04-12 1847
欢迎大家光临我的博客一起交流学习呀~http://www.chenjingjiu.cn 1.Brute Force 上篇文章截的图太多了,这回就不给大家截题目了,重点的图还是会有的哦~ 从源码可以看到,只有红框框出来的地方发生了变化。这个mysql_real_escape_string()是干...
web安全-dvwa搭建
wangzhao19960517的博客
06-09 2215
web安全-dvwa搭建
dvwa靶场csrf(跨站请求伪造)全难度教程(附代码分析)
m0_73248913的博客
01-28 321
建议使用owaspbwa靶场可以不用搭建dvwa以及其他常用靶场,省去搭建靶场的困扰,但是此靶机靶场较老,并不建议使用owaspbwa下载地址: OWASP Broken Web Applications Project download |注:owaspbwa的本机用户名root密码owaspbwa,记得看看靶机的ip方便以后使用。dvwa的用户名和密码都为admin(owaspbwadvwa是此,其他的用户名为admin密码为password)
基于DVWA的CSRF
weixin_30736301的博客
05-04 84
1.等级为low     在改密码的时候,使用burp抓包。           会发现是GET方式进行参数传递。然后复制url      3.可以自行修改password_new=1&password_conf=1的参数。然后引诱管理员去点击这个链接。当点击这个链接时,就会把自动把密码给改了。    4.因为会显示密码修改的页面,所有现实需要做一些处理    &lt...
【渗透测试】【DVWA】CSRF
preserphy的博客
08-07 1609
【CSRF】 全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。...
DVWA——CSRF
weixin_51559599的博客
11-13 1633
这样解决了上种方法在请求加入 token 的不便,同时,通过 XMLHttpRequest 请求的地址不会被记录到浏览器的地址栏,也不用担心 token 会透过 Referer 泄露到其他网站去。可以在 HTTP 请求以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。可以利用这一点漏洞,可以想办法在恶意网站的地址添加带有 Web1 主机地址的字段。
dvwa通关教程
ing_end的博客
01-29 3406
目录 File Inclusion(文件包含) (low)​ File Upload(文件上传) (low) Insecure CAPTCHA(不安全的验证码/不安全的验证流程) (low) File Inclusion(文件包含) File Inclusion,即文件包含,是指当服务器开启allow_url_include选项时,就可以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文件.
DVWA靶场--CSRF漏洞修改目标的密码(low)
m0_53623242的博客
02-21 5873
作业准备: 1、Jdk环境 2、BurpSuite抓包 3、搭建DVWA靶场 4、phpStudy(Apache和MySQL都已配置) 5、kali虚拟机 6、CSRF虚拟机
dvwa问题篇 -- dvwa忘记密码,重置密码 -- 小黑解决教程_dvwa账号密码(1)
2401_84968303的博客
05-16 882
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
CSRF漏洞原理与防御方式
dreamthe的博客
09-17 2096
CSRF漏洞原理 CSRF被叫做跨站请求伪造,该怎么理解这句话呢,比如 用户a在浏览器登录了账号,当他发送登录请求时候,服务器验证了账号密码,会返回给一个身份信息存放在cookie里面,浏览器保存,那么以后用户访问服务器带着这个cookie就行了。那么怎么产生攻击的呢,是用户在已经登录的状态下,访问了一个恶意的网站,带浏览器保存的cookie值向服务器发送了恶意请求,服务器会以为是用户的请求,其实这是用户不知情的请求。垮了两个站,一个是用户登录实际网站,一个屙屎攻击者恶意构造网站,所以称作跨站请求伪造。
DVWA密码忘记解决方案
bring_coco的博客
05-13 4130
1.打开phpstudy的mysql命令行 2.查询数据库 命令:show databases; 3.查找dvwa数据库的表 命令:use dvwa show tables 4.查询用户表 命令:select * from users; 5.将password进行MD5解密 链接:https://www.cmd5.com/
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值