DVWA——Insecure CAPTCHA复现

于 2024-07-19 20:53:38 发布
阅读量882 收藏 19
点赞数 17
CC 4.0 BY-SA版权
文章标签: android java 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62056583/article/details/140558548

DVWA——Insecure CAPTCHA复现

原理

CAPTCHA是谷歌提供的一种用户验证服务,即:验证码验证,就是用来区分人类和计算机的一种手段,可以很有效的防止恶意软件、“肉鸡”大量调用系统功能,比如注册、登录等。
因为该模块是谷歌提供,需要科学上网,否则我们无法看到具体的页面数据,修改成功,验证码等
对于我们常用的brute force(暴力攻击),由于这个时候系统有个严密的验证码机制,此类攻击就无计可施了。但本关中我们的主体思路是基于本关验证过程不严谨我们选择绕过验证的方式进行实现。

实验开始前准备

由于我们构建靶场时不会带着对于模块的配置文件的内容会出现不能正常显示的情况所以我们需要在/dvwa/WWW/config/config.ini.php文件下配置假如谷歌的密钥:

$_DVWA[ ‘recaptcha_public_key’ ] =
‘6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg’; $_DVWA[
‘recaptcha_private_key’ ] =
‘6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ’;

当然也可以自己科学上网去获取自己的密钥然后填入配置文件中
即在如下文件中进行修改即可
能够正常显示这样的就好了。

最低0.47元/天 解锁文章
霞日
关注
DVWA-Insecure CAPTCHA(不安全的验证码)
weixin_50342860的博客
08-25 951
目录风险lowmediumhigh修复 风险 是指验证码验证可以被绕过。怎么绕?一般都是验证码的验证和最终修改的验证分离,导致了中间过程(验证码的验证结果)可以被篡改 进入Insecure CAPTCHA 模块,看到需要配置 根据相应的路径,找到文件中下图所示的位置,输入随意值,保存 可刷新页面,正常访问 low <?php if( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ] == '1' ) ) { // Hide
DVWA之SQL注入
qq_46416934的博客
07-29 1373
DVWA是一款基于PHP和MYSQL开发的web靶场练习平台,集成了常见的web漏洞如。
DVWAInsecure Captcha
谢公子的博客
08-05 5514
Insecure CAPTCHA Insecure CAPTCHA,意思是不安全的验证码,CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。但个人觉得,这一模块的内容叫做不安全的验证流程更妥当些,因为这块主要是验证流程出现了逻辑漏洞,谷歌...
DVWAInsecure CAPTCHA(不安全的验证码绕过)
shmilyzmy的博客
10-22 1345
low 1.首先在burpsuite中打开代理,即图中的第一步,登录dvwa 2.修改安全等级 ,分析源码 3.返回burpsuite开启代理之后,回到dvwa界面,(切记记住输入的密码)点击change提交,之后再返回burpsuite,可看见服务器返回的表单 检查用户输入的验证码,验证码通过后服务器返回表单 客户端提交post请求,服务器完成更改密码的操作 全选后鼠标右击,点击send to repeater medium 前面步骤...
DVWAInsecure CAPTCHA(不安全的验证码)
RexHa的博客
10-03 1707
DVWA安全的验证码
DVWA——Insecure CAPTCHA(不安全验证码)
qq_45780190的博客
05-13 612
DVWA——Insecure CAPTCHA(不安全验证码) 验证码最大的作用就是防止攻击者使用工具或者软件自动调用系统功能 就如Captcha的全称所示,他就是用来区分人类和计算机的一种图灵测试,这种做法可以很有效的防止恶意软件、机器人大量调用系统功能:比如注册、登录功能。 我们前面讲到的Brute Force字典式暴力破解,就必须要使用工具大量尝试登录。如果这个时候系统有个严密的验证码机制,此类攻击就无计可施了。 LOW 服务器端核心代码: <?php // 步骤1 if( isset( $_
DVWA靶场-----Insecure CAPTCHA(不安全的验证码)
m0_65712192的博客
11-18 1945
DVWA靶场-----Insecure CAPTCHA(不安全的验证码)
DVWA靶场漏洞记录
weixin_66669317的博客
07-25 434
dvwa的漏洞复现
常见渗透测试靶场
qfliweimin的博客
05-26 4395
1.DVWA 作为新手,通常第一个听说的靶场应该就是DVWA,部署简单安装完对应版本的PAM(PHP-Apache-MySQL),简单配置后就可以使用。 1、DVWA靶场可测试漏洞:暴力破解(Brute Force)、命令注入(Command Injection)、跨站请求伪造(CSRF)、文件包含(File Inclusion)、文件上传(File Upload)、不安全的验证码(Insecure CAPTCHA)、SQL注入(SQL Injection)、SQL盲注(SQL Injection Bl
DVWA--Insecure CAPTCHA(不安全的验证码)(全难度)
wwxxee
02-20 757
DVWAInsecure CAPTCHA(不安全的验证码) Insecure CAPTCHA,意思是不安全的验证码,CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。 逻辑 这一模块的验证码使用的是Google提供reCAPTCHA服务,下图是验证的具体流程。 服务器通过调用recaptcha_check_answer函数检查用户输入的正确性。
DVWA Insecure CAPTCHA(不安全的验证码)全等级
柠檬i的博客
12-19 1155
Insecure CAPTCHA(不安全的验证码) 目录:Insecure CAPTCHA(不安全的验证码)1. Low2.Medium3. High4.Impossible 加载验证码需要向Google申请验证码API。由于大陆地区访问不了Google,所以无法获取到验证码,所以需要耐心等待访问Google超时时间才能做本题。 1. Low 可以看到,服务器将改密操作分成了两步,第一步检查用户输入的验证码,验证通过后,服务器返回表单,第二步客户端提交post请求,服务器完成更改密码的操作。但是,这其中存在
DVWA靶场-insecureCAPTCHA
zeroone的博客
03-09 555
第六关:Insecure CAPTCHA(不安全验证码) Insecure CAPTCHA,意思是不安全的验证码,CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。但在DVWA中主要是验证逻辑出现了漏洞 Low <?php if( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ]
DVWA Insecure CAPTCHA
部分学习记录
09-22 313
low 审查源码发现其只是通过对参数change和step的检查来修改密码,可以利用burp抓包绕过 medium 审查源码发现虽然对是否输入验证码进行了检查,但是并未对参数passed_captcha进行检查,可以通过burp将该参数修改为为true·来绕过检测 high 审查源码发现除了验证码以外,如果post提交的参数g-recaptcha-response=hidd3n_valu3且HTTP_USER_AGENT=reCAPTCHA时,同样可以绕过,所以依然可以利用burp抓包修改 ...
dvwaInsecure CAPTCHA
qq_17762247的博客
06-01 321
一、简介 CAPTCHA是谷歌提供的一种用户验证服务,全称为:Completely Automated Public Turing Test to Tell Computers and Humans Apart(全自动区分计算机和人类的图灵测试),简单来说就是用来区分人类和计算机的一种手段,可以很有效的防止恶意软件、工具人大量调用系统功能,比如注册、登录等。 二、Low 1、服务器端代码 <?php if( isset( $_POST[ 'Change' ] ) && ( $_POS
DVWAInsecure CAPTCHA
baynk的博客
10-29 1142
汇总链接: https://baynk.blog.csdn.net/article/details/100006641 ------------------------------------------------------------------分割线------------------------------------------------------------------ Inse...
【工具-DVWADVWA渗透系列六:Insecure CAPTCHA
qqchaozai的专栏
10-24 2310
前言 DVWA安装使用介绍,见:【工具-DVWADVWA的安装和使用 本渗透系列包含最新DVWA的14个渗透测试样例: 1.Brute Force(暴力破解)2.Command Injection(命令注入)3.CSRF(跨站请求伪造)4.File Inclusion(文件包含)5.File Uploa...
DVWA--Insecure CAPTCHA
weixin_42191656的博客
07-21 572
DVWA平台Insecure CAPTCHA全级别通关
[dvwa] insecure CAPTCHA
最新发布
m0_63416413的博客
04-10 324
dvwacaptcha人机验证
DVWA-07-Insecure CAPTCHA
dahe
03-01 298
1.概念 Insecure CAPTCHA, 不安全的验证码,CAPTCHA 是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称,这里主要是验证流程出现了逻辑漏洞,所以一般大家也称之为不安全的验证流程。 从网络上看到的reCAPTCHA流程 2.实验 2.1 LOW <?php if( isset( $_POST[ 'Change'...
dvwa靶场nsecure CAPTCHA通关
09-15
要成功通关 DVWA 靶场中的 "Insecure CAPTCHA" 任务,您可以尝试以下方法: 1. 手动绕过 CAPTCHA:在访问 CAPTCHA 页面时,查看页面源代码或网络请求,寻找是否有任何提示或帮助信息可以帮助您绕过 CAPTCHA 验证。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值