DVWA--javascript

最新推荐文章于 2024-05-15 14:16:37 发布
最新推荐文章于 2024-05-15 14:16:37 发布
阅读量1.8k 收藏 5
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45038413/article/details/90045210
版权

Low 等级

在这里插入图片描述
查看源码,在前台生成了一个token,用的是md5加密。

在这里插入图片描述在这里插入图片描述
输入success
在控制台输入 generate_token();
在这里插入图片描述

Medium 等级

在这里插入图片描述
在这里插入图片描述

输入 success
在控制台中,输入do_elsesomething(“XX”)

在这里插入图片描述

High 等级

查看源码,发现这里的js代码经过混淆
在这里插入图片描述
使用http://deobfuscatejavascript.com解除混淆
关键代码
在这里插入图片描述
生成 token 的步骤是:
1.由于有300毫秒延时,所以先执行了token_part_1(“ABCD”, 44)
2.然后再执行了 token_part_2(“XX”)
3.token_part_3被添加在提交按钮的click事件上,也就是点提交会触发执行。
在输入框输入 success 后,再到控制台输入token_part_1(“ABCD”, 44)和token_part_2(“XX”)这两个函数

在这里插入图片描述

Vr.ka
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DVWA 通关笔记:JavaScript Attacks
Sheng_GuoFu的博客
01-11 2025
什么是JavaScript Attack?JavaScript Attack即JS攻击, 攻击者可以利用JavaScript实施攻击。
DVWA —— JavaScript Attacks JS 攻击
YouTheFreedom的博客
05-27 691
客户端访问服务器获得 JavaScript,并在本地浏览器执行,于是我们就有了源码。我们可以通过代码审计,逆向分析来挖掘 JS 可能存在的漏洞,实现 JS 攻击。JavaScript 逆向分析指的是对JavaScript代码进行分析和研究,以了解其实际功能、逻辑和执行过程。逆向分析可以帮助开发人员更好地理解和调试代码,也可以帮助安全人员发现潜在的漏洞和攻击路径。
dvwa靶场 JavaScript Attacks(js攻击)全难度教程(附代码分析)
最新发布
m0_73248913的博客
05-15 393
一种解释型语言(代码不需要编译),一般镶嵌在html或者php实现。
【工具-DVWADVWA渗透系列十四:JavaScript
qqchaozai的专栏
10-27 2198
前言 DVWA安装使用介绍,见:【工具-DVWADVWA的安装和使用 本渗透系列包含最新DVWA的14个渗透测试样例: 1.Brute Force(暴力破解)2.Command Injection(命令注入)3.CSRF(跨站请求伪造)4.File Inclusion(文件包含)5.File Uploa...
DVWA-----Javascript
m0_65712192的博客
12-14 574
DVWA-----Javascript(js攻击)
dvwajavascript
ANDTM的博客
06-28 308
在本关,我们要做的最重要的一件事就是读懂代码,读懂他的加密方式,读懂加密过程调用了什么函数,调用不同函数的顺序,dvwa的这一关用的是一种前端加密,当我们读懂了JavaScript的加密方式,我们就可以构造我们想用的参数。
DVWA-master安装包
02-28
2. **跨站脚本(XSS)**:分为反射型和存储型两种,XSS允许攻击者通过注入可执行的JavaScript代码来窃取用户cookie或其他敏感信息。 3. **跨站请求伪造(CSRF)**:攻击者诱导用户执行非预期的操作,比如更改密码或...
DVWA-master.zip
03-13
3. 跨站脚本攻击(Cross-Site Scripting, XSS):XSS允许攻击者在用户浏览器上执行恶意JavaScript代码,可能用来盗取用户的会话信息或者进行其他攻击。DVWA提供了多种类型的XSS漏洞,包括存储型、反射型和DOM型,...
DVWA-master
12-10
3. **资源文件**:包括HTML模板、CSS样式表、JavaScript脚本等,它们构成了DVWA的用户界面。 4. **测试数据**:为了模拟真实情况,DVWA提供了一些预设的测试数据,用户可以通过这些数据进行漏洞利用的实践。 5. **...
DVWA-Javascript详解
Mr_helloword的博客
08-06 1987
前端攻击(JavaScript Attacks) 低级 进入靶场后点击提提交,发现phrase错误 根据提示我们输入success,提示说token不对 查看源代码:发现phrase表示我们输入的内容,然后计算输入的token值document.getElementById("token").value = md5(rot13(phrase));,写入token,但是为啥写入success也报token错误? <?php $page[ 'body' ] .= <<<EOF &lt
实验:DVWA-JavaScript(JS攻击)
Cwillchris的博客
10-31 1114
实验环境: DVWA靶机:172.16.12.10 靶场用户名:admin 密码:123 windos攻击机:172.16.12.7 kali攻击机:172.16.12.30 实验步骤: 一、Low级 1、源码分析 <?php $page[ 'body' ] .= <<<EOF <script> /* MD5 code from here https://github.com/blueimp/JavaScript-MD5 */ //省略一些函数 。
cocos creator 实现加载远程资源到本地缓存
热门推荐
lck8989的博客
07-12 1万+
在项目开发过程有时候需要将远程连接的图片加载到本地存放,供以后使用,但是在cocos 官方文档里面没有详细的介绍存放到本地的方法,现在在这里讲述如何将远程资源加载到本地进行保存首先新建一个对象类专门用来管理加载图片的类ImageLoader.jsvar md = require("./md5"); cc.Class({ extends: cc.Component, statics...
DVWA-JavaScript Attacks
AI_SumSky的博客
11-27 6930
JavaScript Attacks low级别 发现提示说只要提交success就赢了,提交了前端返回token无效,看起来像ctf比赛题 分析页面源码发现,首先他用的是dom语法这是在前端使用的和后端无关,然后他是获取属性为phrase的值然后来个rot13和MD5双重加密在复制给token属性 查看前端代码果然有dom语法,发现要获取和要赋值的都有了默认值,所以提交的虽然是success但是token还是changeme的因为generate_token()方法不会自动执行他需要调用,这时只需要在
DVWA JavaScript
yuysjx的博客
02-13 177
dvwa
DVWA关卡13:JavaScript Attacks(前端攻击)
m0_54899775的博客
12-13 1943
JavaScript Attacks(前端攻击)
2020-12-07-DVWAJavaScript
qq_50963064的博客
11-16 2977
JavaScript low <?php $page[ 'body' ] .= <<<EOF <script> function rot13(inp) { return inp.replace(/[a-zA-Z]/g,function(c){return String.fromCharCode((c<="Z"?90:122)>=(c=c.charCodeAt(0)+13)?c:c-26);}); } function gen
DVWAJavaScript Attacks
baynk的博客
11-20 1546
汇总链接: https://baynk.blog.csdn.net/article/details/100006641 ------------------------------------------------------------------分割线------------------------------------------------------------------ 更新后的...
DVWA之前端攻击(JavaScript Attacks)
qq_39682037的博客
03-24 3201
前端攻击(JavaScript Attacks) 这是一种比较新颖的玩法,通过捕获js的漏洞进行,成功提交success就算赢 Security Level: low 源码 <?php $page[ 'body' ] .= <<<EOF <script> /* MD5 code from here https://github.com/blueimp/...
dvwa javascript attacks
08-27
这就是DVWAJavaScript攻击漏洞的基本情况。<span class="em">1</span><span class="em">2</span><span class="em">3 #### 引用[.reference_title] - *1* [DVWA 通关笔记:JavaScript Attacks]...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值