渗透学习-学习记录-利用浏览器的开发者工具实时修改网页前端JS代码(实现绕过)

最新推荐文章于 2024-08-02 13:35:44 发布
最新推荐文章于 2024-08-02 13:35:44 发布
阅读量6.5k 收藏 44
点赞数 8
分类专栏: 渗透学习 文章标签: 前端 javascript 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43696276/article/details/128709993
版权

文章目录

前言

最近学习了一些有关于JS脚本搭建网站方面的安全知识。通常来说JS是前端的页面代码,因此我们可以直接修改前端的JS代码来实现绕过,故我试着做了一下利用浏览器的开发者工具进行尝试修改页面,以此来直接进行绕过的实验,特此记录。

一、JS前端的修改

首先,我们打开一个浏览器的开发者工具页面,都会出现如下的大致画面:
在这里插入图片描述

然后,让我们以uploads-lab第一关为例子,来进行探究一下如何进行修改。

首先,要想修改JS代码,那么我们首先就得找到有关限制部分的代码,而后对其进行编辑。

此时,我们可以发现,我们在元素(element)中会找到对应的部分:
在这里插入图片描述

但是,我们直接在这里修改是行不通的!!!因为浏览器一般都会已经在内存里加载了这段代码,要重新加载代码只能靠刷新,然而刷新会丢失我们所作的修改。

因此,我们需要用其他的方法,更改浏览器内存中的这一段代码。于是乎,我们要进行如下的操作:

1.点击源代码:

在这里插入图片描述

2.选择【覆盖】,点击【选择替代文件】,然后从本地随意选取一个文件夹:
在这里插入图片描述

3.此时会弹出一个访问权限的框,点击允许即可
在这里插入图片描述

4.此时,勾选【启用本地替代】,而后就会发现下面有个黄色的文件夹(就是我们前一步选中的)

在这里插入图片描述
5.而后,点击【页面(page)】,就会看到下面有本网站的一些文件

在这里插入图片描述

6.右击我们所需的文件(也就是包含了JS的文件),选中【保存已备替代】,此时就会发现文件下面有个紫色的按钮:
在这里插入图片描述
7.此时,再回到覆盖中就可以看到我们选中的文件了!!! 然后,我们直接对其修改,再用ctrl + s 进行保存后,就完成了前端页面的修改了!!!(如果没有修改成功,则会有一个黄色三角形的按钮的)
在这里插入图片描述

8.保存后,刷新页面,此时就可以直接上传php文件,然后就会发现成功了!!!
在这里插入图片描述

dfzy$_$
关注
  • 8
    点赞
  • 44
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Chrome浏览器修改网页前端JS代码实现绕过
墨痕诉清风的博客
07-01 247
但是,我们直接在这里修改是行不通的!因为浏览器一般都会已经在内存里加载了这段代码,要重新加载代码只能靠刷新,然而刷新会丢失我们所作的修改。因此,我们需要用其他的方法,更改浏览器内存中的这一段代码。首先,要想修改JS代码,那么我们首先就得找到有关限制部分的代码,而后对其进行编辑。然后,让我们以uploads-lab第一关为例子,来进行探究一下如何进行修改。刷新后依然是修改后的数据。
【如何使用chrome开发者工具调试javascript代码
qq_69223185的博客
04-24 2061
如何使用Chrome开发者工具调试javascript代码
怎么才能在浏览器直接改JS代码还能运行?
qq_45454550的博客
10-08 2524
有没有办法可以直接在浏览器改呢?还能立即看效果,不行还能接着改。前端调试中,JS代码中有一个变量或者判断需要改下看下运行效果;但是重新需要重新打包或者重新发布怎么办?码字不易,如果对你有帮助,请给个三连吧!
浏览器 javascript 调试技巧
滴水石穿
04-27 93
也可以直接浏览器上操作断点,除了常规的直接点击源码断点之外,也可以使用一些具体场景的断点,比如定时器触发时进入断点、异步请求响应时断点,DOM 变更时断点等等。当你发现网络面板有个感汗号警告时,就意味着你启用了本地替换的功能,指定的源码文件不会从网络上加载,而是加载本地临时替换修改过的文件。但总会有某些场景,由于各种受限,只剩下浏览器直接操作的手段,因此,掌握一些源码定位和调试的方式技巧还是有必要的。变量,找到对应组件的某个方法入口,通过 log 输出方法再跳转至源码位置,就能针对性的梳理某个逻辑源码。
Chrome使用本地修改过的js替换原js内容
gergul的专栏
10-17 4800
1.进入开发人员工具:按F12 或 按ctrl+shitf+i 或 菜单“更多工具”->“开发人员工具”5.会自动打开本地保存的js文件,此时我们就可以修改与保存了,若代码格式不好看,点击“{}”即可格式化。☆ 若要加载原js文件,在“源代码/来源”->“替换”,去掉勾选“启用本地替换”,刷新网页即可。2.在“源代码/来源”页面找到需要更改的js文件,“右键”->“替换内容”3.在弹出的标签点击“选择文件夹”来选择一个存放内容的本地文件夹。6. 编辑好后按“ctrl+s”保存更改。
Web安全-网页开发者工具
道阻且长,行则将至。
02-13 1767
本文将介绍浏览器网页开发者工具在日常一些有趣的应用。比如演示利用浏览器F12的网页开发者工具修改Web前端界面,但刷新页面后更改将失效。
关于前端加密登陆绕过渗透思路
Adminxe的博客
08-22 1965
0x00 前端加密 好就不发博客了,今天主要讲一下前端加密绕过前端加密,判断加密类型,根据加密类型,找到对应解密形式,同时如果存在简单前端校验时,比如js绕过,base64编码,这样的话就会简单很多,但对于AES加密时,我们就首先要熟悉AES的加密规则。 0x01 关于AES加密规则 https://www.cnblogs.com/starwolf/p/3365834.html 附上链接,AES五种加密模式(CBC、ECB、CTR、OCF、CFB)。 c++源码: /** *@param..
文件上传漏洞 — 前端JS绕过、MIME类型绕过
liguangyao213的博客
01-25 4561
文件上传漏洞的相关讲解基于upload-labs靶场,搭建教程见文件上传漏洞靶机搭建教程 前端JS绕过 浏览器访问http://127.0.0.1/Pass-01/index.php进入靶机pass01漏洞练习页面: webshell:就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,也有小部分人.
渗透测试-Python破解前端JS密码加密
道阻且长,行则将至。
09-02 2456
文章目录前言加密破解站点简介加密分析编写脚本执行脚本暴力破解总结 前言 渗透测试过程中,经常会遇到有的站点未对用户登录失败的次数进行限制,导致可以直接使用 BurpSuite 工具进行暴力破解。有的站点虽然可以爆破,却在前端使用JS代码对密码进行了加密,如果是常规的加密或者哈希算法,BurpSuite 的爆破功能自带了选择加密算法的功能,可直接爆破搞定即可。但如果遇上不是常规加密算法或者开发人员对常见算法、进行变化的情况…… 本文将简述如何使用Python脚本对前端做了密码加密的站点进行暴力破解。 加密破
前端Web-JavaScript(上)
Yu2uki的博客
07-31 1421
JavaScript(简称:JS) 是一门跨平台、面向对象的脚本语言,是用来控制网页行为的,实现人机交互效果。JavaScript 和 Java 是完全不同的语言,不论是概念还是设计。但是基础语法类似。组成:ECMAScript: 规定了JS基础语法核心知识,包括变量、数据类型、流程控制、函数、对象等。BOM:浏览器对象模型,用于操作浏览器本身,如:页面弹窗、地址栏操作、关闭窗口等。DOM:文档对象模型,用于操作HTML文档,如:改变标签内的内容、改变标签内字体样式等。
高德地图离线版 使用高德地图api的方法
最新发布
m0_62336925的博客
08-02 329
然因为高德地图的瓦片地图太大,所以要让后端部署下 前端直接调用 如果本地 直接找到瓦片图路径就可以。这个代码把你想用的方法名保存到本地。这个时候会报错 因为没有这个方法。然后就可以正常使用这个方法拉。然后使用他的离线方法。找到对应的名字 复制。
【分享】前端程序员-技术网站推荐
一位前行者的博客
07-30 898
对于前端开发人员来说,以下是一些推荐的技术网站,这些网站提供了丰富的资源和知识,可以帮助你提升前端开发技能:收集一些 、、 的网站 vite 官方中文文档 element-plus 官方中文文档 pinia 官方中文文档 vue-router 官方中文文档 Tailwind CSS 官方文档 vitest 官方中文文档 es6 中文文档 axios 官方中文文档 vxetable 官方中文文档 lodash 中文文档 echarts 官方中文文档 animat
前端面试:项目细节重难点问题分享(十四)
weixin_49062485的博客
08-02 391
更多详情:爱米的前端小笔记(csdn~xitujuejin~zhiHu~Baidu~小红shu)同步更新,等你来看!都是利用下班时间整理的,整理不易,大家多多👍💛➕🤔哦!你们的支持才是我不断更新的动力!
electron 主进程和渲染进程
qq_21087199的博客
07-29 389
虽然最近一年前端大环境不好,但是大家还是要加油鸭!,努力总不会错,千军万马过独木桥,希望大家都是闯过去那一个。进入正题。
我们的前端开发逆天了!1 小时搞定了新网站,还跟我说 “不要钱”
努力做最接地气的编程干货分享,感谢关注
07-29 2410
本文将带你了解一个新的 Web 框架 **Astro**,并手把手带你使用 Astro 搭建一个属于自己的站点,用过的都说真香!
前端面试3+1】20 css三栏布局6种实现方式、多行文本溢出怎么实现、token过期了怎么处理、【二叉树的中序遍历】
qq_61798306的博客
07-30 733
本文包含八股文:css三栏布局6种实现方式、多行文本溢出怎么实现、token过期了怎么处理,算法【二叉树的中序遍历】
前端代码混淆加密(使用Terser、WebpackObfuscator)
@Fonden
07-30 370
(注意Terser和WebpackObfuscator引入的方式不同,后者是放到plugins中)② 在 Terser 之后使用 WebpackObfuscator 进行混淆。以此在网上查找到相应工具有:Terser、WebpackObfuscator。① 使用 Terser 进行代码压缩和 source map 生成,② 设置在生产环境中才去使用混淆加密工具(开发环境会产生各种报错)为了对公司项目进行安全防护措施,前端需要进行代码混淆加密处理。压缩代码、变量和函数名混淆、删除未使用代码
前端开发技术之HTML/CSS
m0_67484548的博客
07-29 795
5. <figure> 和 <figcaption>:<figure> 用于媒体内容的分组,<figcaption> 用于定义 <figure>1. <menu> 和 <menuitem>:定义菜单列表(<menu>)和菜单项(<menuitem>)(HTML5。1. <h1> to <h6>:定义HTML标题,<h1> 表示最高的标题级别,<h6> 表示最低的标题级别。3. <figure> 和 <figcaption>:定义媒体内容的分组,以及媒体的标题或说明。
浏览器开发者工具查看前端代码不正确会出现什么情况
05-19
如果浏览器开发者工具查看前端代码不正确,可能会出现以下情况: 1. 显示的代码不是真实的代码:如果开发者工具显示的代码与实际代码不一致,那么开发人员将很难对其进行调试和修复。 2. 代码结构不清晰:如果代码开发者工具中显示混乱或难以阅读,开发人员将很难快速定位和解决问题。 3. 代码隐藏或缺失:如果开发人员无法在开发者工具中找到其需要的代码,可能是因为代码已被隐藏或缺失,这将使问题的排查变得更加困难。 4. 开发者工具崩溃或无法正常工作:如果开发者工具崩溃或无法正常工作,开发人员将无法使用它来查看和调试代码,这将大大降低开发效率。 因此,最好使用可靠的开发者工具来查看前端代码,以确保代码的准确性和完整性,并提高开发效率。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值