墨者学院_在线靶场——身份认证失效漏洞实战

最新推荐文章于 2023-10-18 10:17:23 发布
最新推荐文章于 2023-10-18 10:17:23 发布
阅读量584 收藏 4
点赞数
分类专栏: 漏洞 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46079186/article/details/120169419
版权

实验目标:

  • 了解越权漏洞
  • 熟练使用burp

  1. 打开靶机
    在这里插入图片描述

  2. 我们先看一下题目
    在这里插入图片描述

  3. 打开网站,有个测试用户
    在这里插入图片描述

  4. 我们登入测试用户,这边有个会员名
    在这里插入图片描述

  5. 我们使用burp 抓包,去修改会员名,,一般用户的会员名都差不多,我们先只修改后面两位试试。
    在这里插入图片描述设置值
    在这里插入图片描述

  6. 爆破完之后发现已经爆出其他用户账号,
    在这里插入图片描述

  7. 虽然已经爆出账号,但是我们要怎么判断哪个账号是马春生的呢????
    我们直接按f12 点击马春生头像,发现会员账号 20128880316
    在这里插入图片描述

  8. 直接去查找这个账号
    在这里插入图片描述

  9. 得到用户名和密码,密码cmd5 解密,9732343 登入
    在这里插入图片描述

~ Venus
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
墨者学院靶场---身份认证失效漏洞实战
wsjshishuaige的博客
05-10 201
MD5在线加密/解密/破解—MD5在线 (sojson.com)
墨者学院身份认证失效漏洞实战
天天学安全专属博客
03-18 593
墨者学院身份认证失效漏洞实战
渗透测试练习靶场汇总
热门推荐
Thunderclap的博客
07-01 1万+
渗透测试 练习常用靶场汇总
漏洞靶场实战-Vuluhub medium_socnet
qq_53058639的博客
02-04 493
Vulnhub 是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地 VM 打开即可,但是很多靶场不兼容 Vmware 比如本次用的靶场就不兼容,所以推荐 VirtualBox下载的是一个 ovf 后缀的文件,打开 VirtualBox,导入导入完毕后根据需求编辑虚拟机设置。
墨者学院身份认证失效漏洞实战
weixin_61951055的博客
07-19 1146
墨者学院身份认证失效漏洞实战——二锅头的博客
靶场攻略 | 网络安全靶场合集
Python_0011的博客
10-11 3620
1JAVA环境。
墨者未必黑——思想汇报 .docx
02-10
墨者未必黑——思想汇报 .docx
墨者学院-HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2题)
最新发布
05-29
HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2题)、phpMyAdmin后台文件包含分析溯源、PHP代码分析溯源(第1题)、PHP代码分析溯源(第2题)、PHP逻辑漏洞利用实战(第1题)、SQL手工注入漏洞测试(Access数据库)
spring IOC实现(墨者革离)
12-12
在这个名为"spring_IOC实现(墨者革离)"的项目中,我们可以通过模拟城门叩问的编剧场景来理解这一概念。 首先,控制反转的基本思想是将对象的创建和依赖关系的管理从应用程序中分离出来,交给一个外部容器(在...
WebShell文件上传漏洞分析溯源
02-22
WebShell 文件上传漏洞分析溯源 一、WebShell 文件上传漏洞概述 WebShell 文件上传漏洞是指攻击者通过上传恶意文件(如WebShell)来获取服务器的控制权,从而实现对服务器的攻击和控制。这种漏洞通常存在于Web应用...
2020最新渗透测试靶机和工具及教程
05-30
搜集的渗透测试的靶场,有Bwapp综合靶场练习 webug综合靶场练习 DVWA综合靶场练习 pikachu靶场练习 uploads文件练习 SQlilabs注入练习 ZVulDirll综合靶场,全部封装在虚拟机中,渗透工具封装在另一虚拟机中。
渗透测试新手练习及高手深入挖掘专用Linux及Windows靶机(官方原版镜像)
05-08
本人学习时使用的的这两个系统,常见的高风险漏洞较多,容易利用,适合新手练习。 metasploitable-linux为常用的Linux靶机,系统包含了很多高风险漏洞、弱口令及容易利用的端口、服务,是渗透测试初学者练习技术的不二之选。 Windows_xp_pro_with_sp2就更不用说了,都被人挖烂了,sp2版本相比sp3更简单一些,适合新手练习。
墨者安全专家3.2
06-20
安全相关。请下载后自己查毒。
数据库注入漏洞线上靶场练习(mozhe)
caption88的博客
03-31 1553
今天练习了墨者的线上数据库漏洞手工注入(别问为什么,问就是简单,我可以做)。注:没有钱所以只做了几个,有钱的可以全部做完。 在你们去练习的前面我需要普及一些关于数据库的知识:第一点 数据库分为关系数据库和非关系数据库,两者代表(在我的印象里面的代表)关系型.Oracle,mysql,sqlserver,Access 非关系.MongoDB。两者的主要区别就是:https://blog.csdn....
24个常见渗透测试漏洞靶场列表
潇湘信安的博客
04-13 691
记得以前也有收藏过一些漏洞靶场,但是他要求在线的才好测试,所以帮他重新搜集整理了这份漏洞靶场列表,现在分享出来供大家练手学习。
网络安全靶场推荐,通过实操能快速提升实战技能!
Y525698136的博客
10-18 1801
自学网络安全知识,具备一定的理论基础,缺乏实战经验,想去网络靶场体验一下,通过实操能快速提升实战技能!
墨者学院sqlmap Host头注入
07-28
墨者学院SQLMap是一款常用的自动化SQL注入工具,用于检测和利用Web应用程序中的SQL注入漏洞。而Host头注入是一种特定类型的SQL注入攻击方法,攻击者通过修改HTTP请求头中的Host字段来执行恶意的SQL查询。 使用SQLMap进行Host头注入的步骤如下: 1. 首先,确认目标网站存在Host头注入漏洞。可以通过手动尝试修改Host字段并观察响应来确认漏洞存在与否。 2. 下载并安装SQLMap工具。可以从墨者学院的官方网站或GitHub仓库获取最新版本。 3. 执行命令`sqlmap -u "目标URL" --headers="Host: 注入点"`,其中目标URL是要测试的目标网站URL,注入点是漏洞存在的Host字段位置。 4. SQLMap将自动进行漏洞检测和注入测试,并生成相关报告和结果。 请注意,Host头注入是一种非常危险的攻击方法,仅限用于合法的安全测试目的。在未经授权的情况下使用该方法进行攻击是违法的,并可能导致法律后果。在进行任何安全测试之前,请确保获得合法授权并遵守适用的法律法规。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值