CSRF漏洞——DVWA靶场初级难度

于 2024-09-08 19:59:53 发布
阅读量298 收藏 3
点赞数 1
分类专栏: CSRF跨站请求伪造攻击 文章标签: csrf 经验分享 笔记 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73049307/article/details/142031975
版权

初见页面:

将密码更改为123456 后提交会发现浏览器url上有其对应的参数:

在另一个网页打开并登录DVWA靶场,发现需要123456的密码才能登陆(修改前的密码为:password)

后来发现在页面中有个测试的功能按钮,一样可以在那测试密码是否修改成功:

我们如果想要用户一点击这个短链接就自动修改密码,就将(http://127.0.0.1/DVWA/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#)改成(http://127.0.0.1/DVWA/vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change#)

再在站长之家中生成短链接

短链接,短网址在线生成 - 站长工具

发送链接给受害者诱导其点击即可:

测试一下密码是否修改成功:

南暮思鸢
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bp利用CSRF漏洞dvwa
m0_56578216的博客
08-28 207
打开dvwa,将难度调为low,点击CSRF,打开后发现有一个修改密码的输入框:在这里修改密码,并用bp抓包,在http history查看数据包,点击engagement tools中的Generate CSRF Poc根据请求包生成一个CSRF攻击的网页:在生成的代码中修改密码为12345,点击test in browser在浏览器中测试:复制生成网页的URL:然后在不关闭dvwa的情况下访问生成的恶意网站,点击按钮:
DVWA之暴力破解一(使用Burp Suite)
cai_huaer的博客
04-14 4653
加载弱口令文本后,如果觉得哪一个弱口令不要,可以直接选择那一行的弱口令,再点击Remove,如果觉得需要添加哪个弱口令,可以在Add按钮右边的输入框输入后,再点击Add按钮进行添加。一共9个口令,爆破18次,会依次赋值去爆破,首先第一个参数,依次赋值弱口令字典的值,然后第二个参数为之前提交的默认参数,当时我写的密码是112233,所以前面9次爆破就是第一个参数依次赋值字典,第二个参数为112233,后面9次爆破就是第一个参数为当时我输入的112233,第二个参数依次赋值字典的值。
dvwa问题篇 -- dvwa忘记密码,重置密码 -- 小黑解决教程
G_WEB_Xie的博客
12-27 2601
各位小伙伴初次玩dvwa会出现各种问题,本来想把一些问题直接总结写一篇dvwa文章来着,但因为都是关键字搜索,所以将一些问题都拆分出来,以便大家方便查类似问题。(大家有遇到不一样的问题欢迎投稿!访问localhost/DVWA-master/setup.php 点击Create / Reset Database. 重置数据库。在某次做csrf实验中,把dvwa密码改了,在登录页面一直跳转....然后就可以登录dvwa了,默认的账户密码是admin/password。
DVWA-寻找默认登录密码
weixin_44771252的博客
01-28 6077
【问题描述】 登录dvwa时,无法使用所谓的默认密码:admin、password。 【解决思路】 在登录界面中,鼠标右键查看网页源代码: 发现前端将输入的数据提交给了login.php去处理了,那么我们就登录后端看看这个php文件。 登录后端服务器——owaspbwa,找到dvwa进一步找到login.php: root@owaspbwa:/owaspbwa/dvwa-git# 查看文件: root@owaspbwa:/owaspbwa/dvwa-git#cat login.php 从
DVWA 查看默认密码
热门推荐
ST0new的博客
04-30 2万+
前言 今天登录dvwa的时候发现密码错误,尝试了我自己常设置的密码后都没有结果,就决定去数据库查看dvwa密码。话不多说,直接开始操作 dvwa默认密码 如果小伙伴们只需要dvwa的默认密码去登录dvwa,这里给出dvwa的默认密码 用户名 密码 admin password gordonb abc123 1337 charley pablo letmein sm...
dvwa靶场忘记登入密码的解决方法
weixin_60530860的博客
06-22 4539
dvwa数据库的密码使用md5进行加密了,我们要使用工具来解密,我这里使用的是在线网站解密。进入数据库并查询所有表,然后可见有一个users的表,再查询表中的内容。命令:mysql -uroot -p(password)如果进行修改或者其操作如渗透,不小心就会把默认密码修改。如:mysql -uroot -p123456。默认账号密码:admin/password。可看到有一个对应我们dvwa靶场的数据库。这样我们隔段时间不用就会忘记登入的密码。可见登入dvwa靶场密码是1。
DVWA靶场笔记csrf漏洞原理
Alonegrief的博客
11-20 1343
DVWA漏洞源码分析——(三)csrf Csrf原理: Csrf中文称为跨站请求伪造,利用受害者未失效的身份认证信息(cookie,会话等)诱骗其点击恶意链接或者去访问攻击者构造的含有攻击代码的页面,在受害者不知情的情况下,以受害者的身份向服务器发送请求,从而达到一些非法操作(转账,改密)。 Csrf和xss的攻击方式有点相似,但是不同的是: (1) csrf需要登录后才能操作,xss不需要 (2) csrf是请求页面api来时先非法操作,xss是先当前页面植入js脚本来修改页面内容 例子: 这里我们用dv
DVWA 靶场CSRF(low)
qq_14902381的博客
08-15 1473
dvwa靶场csrf利用
CSRF漏洞靶场实验
09-19
在“CSRF漏洞靶场实验”中,我们将通过实际操作来理解这种攻击方式以及如何防御。 首先,我们需要了解CSRF攻击的基本原理。当用户访问一个网站并登录后,浏览器会保存一个叫做会话(Session)的状态,使得用户在...
DVWA靶场通关实战
qaq517384的博客
11-28 2422
Brute Force Command Injection CSRF File Inclusion File Upload Insecure CAPTCHA SQL Injection SQL Injection Weak Session IDs XSS (DOM) XSS(Reflected) XSS(Stored) CSP Bypass JavaScript
dvwa问题篇 -- dvwa忘记密码,重置密码 -- 小黑解决教程_dvwa账号密码
最新发布
2401_84968371的博客
05-16 720
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
密码管理DVWA
追光少年的博客
02-04 2576
常见的账户对应:admin,root 常见的对应密码是:123456,admin,password,root
dvwa靶场
2301_80481202的博客
02-02 970
登录进入dvwa默认账号密码: 账号–admin,密码–passwordLow随意在登陆框输入,之后打开bp抓包。放到intrude测试器模块1.点击清除把所有变量清除2.分别双击输入的用户名和密码,点击添加,变为有效载荷3.选择攻击类型,攻击类型有四种,这里出于实际情况,这里选择第四种集束炸弹的模式Sniper: 单参数爆破,多参数时使用同一个字典按顺序替换各参数,只有一个数据会被替换Battering ram: 多参数同时爆破,但用的是同一个字典,每个参数数据都是一致的。
dvwa问题篇 -- dvwa忘记密码,重置密码 -- 小黑解决教程_dvwa账号密码(1)
2401_84968303的博客
05-16 754
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
DVWA密码忘记解决方案
bring_coco的博客
05-13 3952
1.打开phpstudy的mysql命令行 2.查询数据库 命令:show databases; 3.查找dvwa数据库中的表 命令:use dvwa show tables 4.查询用户表 命令:select * from users; 5.将password进行MD5解密 链接:https://www.cmd5.com/
DVWA配置(适用任何系统版本)
qq_57223070的博客
10-11 3094
只要官网地址不变,基本就能用
dvwa通关教程
ing_end的博客
01-29 3378
目录 File Inclusion(文件包含) (low)​ File Upload(文件上传) (low) Insecure CAPTCHA(不安全的验证码/不安全的验证流程) (low) File Inclusion(文件包含) File Inclusion,即文件包含,是指当服务器开启allow_url_include选项时,就可以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文件.
dvwa的登录默认用户和密码
weixin_45266077的博客
05-06 6969
关于dvwa万能密码的问题解决
weixin_50464560的博客
03-01 1714
关于dvwa万能密码的问题解决 1、Brute Force下的结果及原因 1.1、结果 图一 图二 1.2、原因 在Brute Force源码中用红笔括号起来的代码表示从数据库中得到的结果只有一条才符合条件 而在数据库中查询图一中的username有不止一条结果符合,查询到超过一条结果,所以图一错误 在数据库中查询图二中的username只有一条结果符合,所以图二正确 2、login.php登录界面的结果及原因 2.1、结果 2.2、原因 在login.php源码中用红笔括号起来的代码表示从数据库中
csrf dvwa靶场
09-13
CSRF (Cross-Site Request Forgery) 是一种常见的网络安全漏洞,它利用了应用程序对用户身份验证的信任,通过伪造请求来执行未经授权的操作。DVWA (Damn Vulnerable Web Application) 是一个专门设计用于练习和测试网络安全技术的虚拟靶场。 在 DVWA 靶场中,你可以练习和测试 CSRF 攻击。它提供了一些漏洞和弱点,供你进行实验和学习,包括 CSRF 攻击。你可以使用 DVWA 来了解和理解如何利用此类漏洞,并学习如何防止和保护应用程序免受 CSRF 攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值