pikachu靶场通关之csrf漏洞通关教程

已于 2024-05-14 14:34:07 修改
阅读量542 收藏 8
点赞数 15
分类专栏: pikachu靶场 文章标签: csrf 安全 前端
于 2024-05-14 14:16:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_74342020/article/details/138837349
版权

目录

CSRF(get型)

1.打开网站,点击右上角提示

2.登录之后,点击修改个人信息

3.修改上述内容,打开抓包工具

4.抓到修改用户信息的数据包

5.构造虚假url,诱导用户点击

6.弹到修改后的界面

​编辑 7.返回原来页面刷新,可以看到用户信息已经被改变

CSRF(post型)

1.打开网站

2.还是同样,修改信息,抓包

3.在抓到的包处,右键选择Engagement tools,然后再选择generate csrf poc

4.修改下图框中的元素的值,改为自己想要的

​编辑5. 点击test in browser,会出现一个url,点击复制

6.打开浏览器,输入刚才复制的url,会出现一个按钮

7.点击按钮,可以看到信息被修改

CSRF(token)

CSRF(get型)

1.打开网站,点击右上角提示

按照提示输入账号,密码进行登陆

若出现报错

Warning: Use of undefined constant MYSQL_ASSOC - assumed 'MYSQL_ASSOC' (this will throw an Error in a future version of PHP) in D:\phpstudy_pro\WWW\pikachu-master\vul\csrf\csrfget\csrf_get_edit.php on line 70

Warning: mysqli_fetch_array() expects parameter 2 to be int, string given in D:\phpstudy_pro\WWW\pikachu-master\vul\csrf\csrfget\csrf_get_edit.php on line 70

是因为php版本高,解决办法

  1. 找到pikachu安装目录(按照它提示的目录)
  2. 打开文件,找到出错的一行
  3. MYSQL_ASSOC修改为MYSQLI_ASSOC,保存。
  4. 页面显示正常。

2.登录之后,点击修改个人信息

3.修改上述内容,打开抓包工具

4.抓到修改用户信息的数据包

5.构造虚假url,诱导用户点击

http://localhost:8086/pikachu-master/vul/csrf/csrfget/csrf_get_edit.php?sex=45ws6&phonenum=12424322&add=123&email=1sdsfd33&submit=submit

6.弹到修改后的界面

 7.返回原来页面刷新,可以看到用户信息已经被改变

CSRF(post型)

1.打开网站

2.还是同样,修改信息,抓包

可以看到提交方式变为post,提交参数在下面

3.在抓到的包处,右键选择Engagement tools,然后再选择generate csrf poc

4.修改下图框中的元素的值,改为自己想要的

5. 点击test in browser,会出现一个url,点击复制

6.打开浏览器,输入刚才复制的url,会出现一个按钮

7.点击按钮,可以看到信息被修改

CSRF(token)

1.打开网站,修改信息,抓包

2.跟前面比较,这里多了一个Token,如果后台对提交的Token进行了验证,由于Token是随机的,我们就无法伪造URL

月敛苏时意
关注
  • 15
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
pikachu靶场全部通关.pdf
08-16
由于在有道云写的,不好发博客,只能这样子,个人结合B站视频,总结
pikachu靶场通关CSRF
qq_74825121的博客
01-20 1116
Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。
安装pikachu,复现暴力破解漏洞
weixin_50914784的博客
11-20 219
找到inc/config.inc.php文件将文件中的DBPW位置写入密码root。
CSRF漏洞+附pikachu靶场详解
zyh1588的博客
01-12 1733
小白回顾csrf漏洞知识,复现pikachu靶场
pikachu靶场-->CSRF漏洞详解
unlash的博客
10-13 316
pikachu靶场CSRF漏洞详解,通关教程漏洞介绍,防御措施,漏洞检测,漏洞危害
pikachu CSRF(跨站请求伪造) (皮卡丘漏洞平台通关系列)
箭雨镜屋
04-14 7395
一、官方介绍 本节引用内容来自pikachu漏洞平台(删了一些内容,留下了最重要的部分,并为精炼语言进行了一些修改) 1、我们判断一个网站是否存在CSRF漏洞,其实就是判断其对关键信息(比如密码等敏感信息)的操作(增删改)是否容易被伪造。 2、本质是借用户的权限完成攻击,因此攻击成功需要用户已经通过验证获得了权限,并触发了攻击者提供的请求。 3、网站如果要防止CSRF攻击,则需要对敏感信息的操作实施对应的安全措施,防止这些操作出现被伪造的情况,从而导致CSRF。比如: --对敏感信息的操作增加安全
Pikachu漏洞练习平台实验——CSRF(三)
dishan4749253的博客
09-25 4850
概述   - 攻击场景例子   - CSRF攻击需要条件   - CSRF和XSS的区别   - 如何确认一个目标站点是否有CSRF漏洞 CSRF(get) CSRF(post) CSRF(token) 防护措施 概述 CSRF 是Cross Site Request Forgery的 简称,中文...
pikachu靶场通关教程
07-20
这个是刚开始学网络安全渗透的靶场练习心得,分享给大家
pikachu靶场通关
11-19
pikachu靶场通关
web渗透教程1:pikachu靶场搭建
11-17
带你手把手搭建pikachu靶场环境
Pikachu安全靶场通关手册
09-29
Pikachu靶场通关手册,适用于网络安全初学人才,步骤详细。
安全测试 之 安全漏洞 CSRF
Orange_hhh的博客
06-03 494
CSRF(Cross-Site Request Forgery),中文名为“跨站请求伪造”,是一种网络攻击方式,它利用用户已经登录的Web应用程序,通过伪造一个请求,执行非用户意愿的操作。这种攻击通常发生在用户已经登录网站A的情况下,攻击者通过网站B构造一个精心设计的链接或表单,诱使用户点击或提交,从而在用户不知情的情况下,利用其在网站A的登录凭证执行操作,比如转账、更改密码等。
Django 默认 CSRF 保护机制
u010674101的专栏
06-05 601
Django 的默认 CSRF 保护机制旨在防止跨站请求伪造攻击(CSRF)。CSRF 攻击是一种恶意攻击,其中攻击者通过伪造用户的请求来执行未授权的操作。
Web前端安全问题分类综合以及XSS、CSRF、SQL注入、DoS/DDoS攻击、会话劫持、点击劫持等详解,增强生产安全意识
JINGWHALE
06-06 1024
本文介绍了Web前端安全问题分类综合以及XSS、CSRF、SQL注入、DoS/DDoS攻击、会话劫持、点击劫持等详解,增强生产安全意识。Web前端作为与用户直接交互的界面,其安全性问题直接关系到用户体验和数据安全。近年来,随着前端技术的快速发展,Web前端安全问题也日益凸显。因此,加强生产安全意识,深入理解并防范前端安全问题,对于保障整个Web应用的安全性至关重要。
家用厨房安全新篇章:煤气安全阀结构与校验知识普及
BDjiance的博客
06-03 308
煤气安全阀作为防止煤气泄露的关键设备,其结构特点、作用解析、定期校验的重要性以及泄露风险的防范等方面,都是我们必须深入了解和掌握的知识。例如,某地一家庭因煤气管道老化导致泄露,而安全阀因长期未校验而失效,最终引发爆炸事故,造成人员伤亡和财产损失。此外,在选择安全阀时,应确保其符合国家标准和产品质量要求,避免因使用劣质产品而带来的安全风险。首先,安全阀能够在煤气压力超过设定值时自动关闭,防止因压力过高导致的煤气泄露和爆炸事故。最后,在使用完煤气设备后,应确保关闭阀门并定期检查安全阀的工作状态。
“安全生产月”专题报道:AI智能监控技术如何助力安全生产
TSINGSEE青犀视频官方技术博客
06-04 940
方案能够通过对人员行为的识别和分析,判断是否存在安全隐患。这些功能的实现,有助于企业提高安全管理水平,减少因人为因素导致的安全事故。
应用程序加固的优势及其在移动应用安全中的重要性
gulu230220的博客
06-05 448
通过提升应用程序的安全性、防止应用程序被篡改、提高应用程序的抗攻击能力、保护应用程序的知识产权和提升用户体验和信任度,加固技术可以有效保障移动应用的安全和稳定,为用户提供更加安全和可靠的移动应用服务。通过加固应用程序的安全漏洞和弱点,加固技术可以防止黑客利用已知的攻击手段和工具对应用程序进行攻击,提高应用程序的安全性和稳定性。通过加密和混淆应用程序的源代码和关键算法,加固技术可以防止黑客和竞争对手获取应用程序的源代码和商业机密,保护开发者的创新成果和商业利益。应用程序加固能够有效提升移动应用程序的安全性。
《软件定义安全》之二:SDN/NFV环境中的安全问题
最新发布
大龄IT民工
06-07 866
南向协议主要侧重于南向接口上的数据转发、网络配置、数据平面信息收集等功能。OpenFlow协议OpenFlow是SDN的标志性技术,他体现了SDN的核心思想:控制与转发分离。它通过流表控制技术支持用户对数据流行为进行控制。OpenFlow交换机根据流表来转发数据包,代表数据转发平面;控制器通过全网络视图来实现管控功能,其控制逻辑表示控制平面。OpenFlow协议的发展演进一直都围绕着两个方面,一方面是控制平面的增强,让系统功能更丰富、更灵活;
pikachu靶场通关教程
10-20
pikachu靶场是一个用于学习和测试网络安全的平台,主要包括web漏洞、系统漏洞、密码学等多个方面。下面是pikachu靶场通关教程: 1. 下载pikachu靶场并安装phpstudy。 2. 进入pikachu靶场的主页,选择相应的题目进行挑战。 3. 根据题目要求,使用相应的工具和技术进行漏洞利用。 4. 在成功获取flag后,将flag提交到相应的页面进行验证。 5. 重复以上步骤,直到完成所有的挑战。 举例来说,如果你想学习SSRF漏洞,可以参考引用中的payload,将其输入到相应的页面中,然后尝试获取目标网站的敏感信息。如果你想学习权限提升漏洞,可以参考引用中的链接,尝试获取其他用户的权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值