0
点赞
收藏
分享

微信扫一扫

Web安全入门与靶场实战(19)- 修改前端代码

由于前端代码是在我们用户的浏览器上执行的,所以我们就可以对其进行修改,这也是在Web安全中经常会用到的小技巧。

修改前端代码需要借助于浏览器中的开发者工具,这个之前已经有过介绍。

下面仍是通过CTF例题来具体介绍。

BugKu-Web-计算器

打开题目后,页面中给出一个简单的算式,让我们输入算式结果,但是却只能输入一位数。

Web安全入门与靶场实战(19)- 修改前端代码 _修改前端代码

所以解题思路就是修改HTML代码,解除限制。

在Firefox开发者工具的查看器中,可以看到文本框控件被设置了“maxlength”属性,限制了最大长度为1,修改最大长度值,即可解题。

Web安全入门与靶场实战(19)- 修改前端代码 _修改前端代码_02


攻防世界-Web-disabled_button

这个题目的网页中有一个无法点击的按钮,在查看器中找到文本框控件,将其中的disabled属性删除,然后按钮就可以点击了:

Web安全入门与靶场实战(19)- 修改前端代码 _修改前端代码_03

点击按钮后直接得到flag:cyberpeace{d13015bec9cb465066f7a18edfa8d90b}

获取靶机中的用户密码

掌握了这些基础知识之后,我们就可以接着对靶机进行操作了。

我们之前通过越权访问漏洞获取了网站中所有用户的信息,但是用户的密码都是隐藏的:

Web安全入门与靶场实战(19)- 修改前端代码 _ctf_04

网站其实已经把这些密码发送给了客户端,只是因为在前端代码中做了设置,所以才没有显示而已。

在开发者工具中直接就可以看到密码明文,或者是把文本框的type属性改为text,就可以直接在页面上显示密码明文。

Web安全入门与靶场实战(19)- 修改前端代码 _开发者工具_05

这样我们就收集到了一组用户名和密码:

eweuhtandingan/skuyatuh
aingmaung/qwerty!!!
sundatea/indONEsia
sedihaingmah/cedihhihihi
alice/4lic3
abdikasepak/dorrrrr

其中我们最关注的就是alice的账号,用她的身份登录网站,但是也没看到有价值的信息。

整个网站的内容又非常简单,至此,在网站这里就很难再继续找到可以利用的漏洞了。

举报

相关推荐

0 条评论