码迷,mamicode.com
首页 > 其他好文 > 详细

DVWA--Insecure CAPTCHA(不安全的验证码)

时间:2020-02-13 14:49:49      阅读:89      评论:0      收藏:0      [点我收藏+]

标签:伪造   mic   通过   流程   response   包头   uri   修改   auto   

Insecure CAPTCHA,意思是不安全的验证码,CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。这块主要是验证流程出现了逻辑漏洞

LOW

通过构造参数绕过验证过程的第一步,首先输入密码,点击Change按钮,抓包:

技术图片

 

 

更改step参数绕过验证码:

技术图片

 

 

密码修改成功

技术图片

 

 

 

Medium

Medium级别的代码在第二步验证时,参加了对参数passed_captcha的检查,如果参数值为true,则认为用户已经通过了验证码检查,然而用户依然可以通过伪造参数绕过验证,本质上来说,这与Low级别的验证没有任何区别

 

可以通过抓包,更改step参数,增加passed_captcha参数(passed_captcha=true),绕过验证码

技术图片

 

 技术图片

 

 技术图片

 

 

 

High

技术图片

 

 

抓包

技术图片

 

 

增加参数recaptcha_response_field以及http包头的User-Agent:

技术图片

 

 

密码成功修改

技术图片

 

DVWA--Insecure CAPTCHA(不安全的验证码)

标签:伪造   mic   通过   流程   response   包头   uri   修改   auto   

原文地址:https://www.cnblogs.com/7-58/p/12303373.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!