【网络安全 | 漏洞挖掘】通过控制台调试实现登录

最新推荐文章于 2025-12-29 11:45:50 发布
原创 最新推荐文章于 2025-12-29 11:45:50 发布 · 2.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
原创文章,禁止转载,否则保留追究法律责任的权利。
文章标签:

#web安全 #漏洞挖掘

未经许可,不得转载。

文章目录

在安全测试过程中,我留意到一个特殊现象:当登录出现错误时,相关请求包并不经过 Burp Suite。

那么此时账号密码是储存在前端的,我通过调试即可实现登录管理员账户。

正文

由于系统设定,输入错误的账号和密码会弹出 “账号密码错误” 的提示。基于此,我在代码中 “账号密码错误” 提示的相关位置设置了断点,截图如下:

在这里插入图片描述

随后,我刷新浏览器页面,输入错误的账号和密码,然后点击登录按钮,操作界面展示如下:

在这里插入图片描述

因为账号密码错误,程序执行路径到达之前设置的断点处,此时的调试界面为:

在这里插入图片描述

我仔细向上翻阅代码,发现关键信息:变量a的值必须为c3ee4d1ca34b184882c9c5473cb82490,且n.password的值必须为1680,满足这两个条件方可成功登录。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
【国内某组态软件和plc的通信漏洞挖掘
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
05-16 823
在189行中取出数据包中的命令字段,判断pkgBodyLen
逆向分析:从加密手机号到短信轰炸漏洞挖掘全流程
2402_86373248的博客
06-02 1449
加密不等于安全:即使使用AES加密,设计缺陷仍可导致高危漏洞状态管理是核心:会话标识必须满足不可预测、一次性使用原则纵深防御必要:单一防护措施无法应对复杂攻击场景漏洞挖掘启示:在渗透测试过程中,需特别关注状态参数(如mfaId)的生命周期管理,这是业务逻辑漏洞的高发区域。通过本文介绍的方法论,可系统性地发现同类漏洞。附录:测试工具清单工具名称用途下载链接JadxAPK反编译Frida运行时HookBurp Suite网络流量分析PostmanAPI测试。
#渗透测试#SRC漏洞挖掘#红蓝攻防#黑客工具之Burp Suite进阶-调试Burp Suite扩展
soc的博客
12-02 854
免责声明 本教程仅为合法的教学目的而准备,严禁用于任何形式的违法犯罪活动及其他商业行为,在使用本教程前,您应确保该行为符合当地的法律法规,继续阅读即表示您需自行承担所有操作的后果,如有异议,请立即停止本文章读。如需获取工具,评论区留言即可!!!调试Burp Suite扩展调试Burp Suite扩展是一个重要的过程,可以帮助你确保扩展按预期工作并解决可能出现的问题。以下是一些常用的调试方法和技巧,帮助你在开发和调试Burp Suite扩展时更加高效。
网络安全之——漏洞挖掘
m0_37922995的博客
07-10 3742
SRC,( Security Response Center) ,安全应急响应中心,是企业用来对外接收来自用户发现并报告产品安全漏洞的站点。简单说就是白帽子用于提交随机发现的漏洞的一个平台,提交者可以获取一定的赏金。是企业用于对外接收来自用户发现并报告的产品缺陷的站点。目前主要包含有两种实现方式,第一种是漏洞报告平台,另一种是XSRC模式。
‌从零开始学漏洞挖掘网络安全实战手册,手把手教你发现系统弱点
白帽阿叁的博客
08-11 1228
网络安全漏洞挖掘技术与注意事项 漏洞挖掘网络安全领域的重要技能,但存在诸多挑战。挖掘不到漏洞的主要原因包括信息收集不充分、分析不够彻底等。本文从法律常识、SRC平台类型、JS技术应用、浏览器调试等方面介绍了漏洞挖掘的关键技术。 在法律层面,网络安全法明确规定不得非法侵入他人网络或窃取数据。漏洞挖掘需遵循授权原则,建议熟读刑法相关条款。 技术层面重点介绍了JS在漏洞挖掘中的重要作用:通过JS可发现插件漏洞、隐藏URL、子域名及敏感信息。文章详细讲解了JSFind工具使用、浏览器控制台调试技巧、断点调试方法,
2025漏洞挖掘系统学习:从环境搭建到实战挖洞全流程
2401_85023633的博客
11-24 610
这是一份专为2025年设计的 ​漏洞挖掘系统学习全流程指南,从零开始,带你走过环境搭建、工具学习、技能进阶,直至实战挖洞的完整路径。
WEB漏洞挖掘(SRC)详细教程--信息收集篇
qq_59468567的博客
03-15 3355
F-NAScan,K8,fenghuangscanner_v3 脚本,F-NAScan.py ,lanscan SRC 开发常用的端口、以及一些域名的命名习惯(GitHub 上面有很多 现成的端口,平时收集信息的时候,可以多注意一下)可以通过 NMAP 扫描常用的开放端口进行渗透 HSCAN,HYDRA 进行爆破。泄露(ds_store_exp)。数据库文件,SQL 注入,配置信息,源代码泄露,未授权访问,CMs 的 install 和后台地址,robots.txt 等信息。
#渗透测试#漏洞挖掘#红蓝攻防#js分析(上)
soc的博客
12-14 1265
漏洞挖掘过程中,对JavaScript的分析具有重要意义。JavaScript在现代Web应用中广泛使用,许多交互功能和业务逻辑都依赖于它,因此其中可能存在多种漏洞。JavaScript (JS) 是一种广泛使用的编程语言,主要用于创建动态和交互性的网页内容。随着Web技术的发展,JS的应用范围不断扩大,不仅限于浏览器环境,还扩展到了服务器端(如Node.js )。因此,对JS进行分析变得尤为重要,特别是在漏洞挖掘安全性评估方面。
Boofuzz协议漏洞挖掘入门教程与使用心得
热门推荐
ronnie88597的博客
08-02 1万+
文章目录1.简介1.1.从Sulley说起1.2.Boofuzz2.Dev环境部署2.1.使用pip安装部署2.2.从源码部署boofuzz2.3.进程监控2.4.网络监控,network_monitor.py3.入门快速使用3.1.实例化`Session`对象3.2.定义消息(Request)3.3.构建协议树(Protocol-Tree)3.4.Fuzz3.5.查看结果4.必备知识汇总4.1.会话,Session4.2.目标,Target4.2.1.Repeater4.2.2.TimeRepeater4
网络安全管理员控制台
06-27
在某些情况下,可能需要通过浏览器控制台调试前端代码以实现特定功能。例如,更新脚本中的变量值: ```javascript a = "c3ee4d1ca34b184882c9c5473cb82490" ``` 这种方法可用于测试或漏洞挖掘场景[^4]。 5. **...
Web安全之SQL注入-CSRF-XSS
AI大模型/Python/Java/MySQL技术栈,快来和我一起学习吧 ~
12-29 673
攻击者通过在用户输入中嵌入恶意 SQL 片段,绕过应用逻辑,直接操作数据库。 示例(危险代码): → 可导致:数据泄露、删除表、提权、远程命令执行(如 PostgreSQL 的 COPY TO)攻击者诱导已登录用户访问恶意网站,该网站自动向目标站点(如银行)发起带 Cookie 的请求(如转账),利用用户身份执行非意愿操作。 前提:用户已登录目标站 + 请求无二次验证。攻击者将恶意脚本(JavaScript)注入网页,当其他用户浏览时执行,窃取 Cookie、会话、钓鱼等。 分类:示例:
计算机网络 (郑烇) 8 网络安全
qq_44845100的博客
12-28 120
【小迪安全web安全|渗透测试|网络安全|SRC挖掘|学习笔记|2021|
weixin_45635831的博客
12-25 627
批量挖掘流程:FOFA收集目标(50万+域名)xray批量扫描(万分之一命中率)人工验证漏洞真实性提交漏洞平台源码审计优势:能深度分析算法逻辑和安全机制黑盒测试要点:常规漏洞扫描JS接口探测三方组件分析经济因素考量:部分售卖系统可能需要购买授权才能获取测试权限开发语言特征:JAVA开发系统常将核心部分封装到dll或jar文件中反编译工具:使用dnSpy等工具对编译文件进行反编译分析。
AI正在重塑网络安全:自动化渗透测试如何让企业“先攻后防”?
2501_93360277的博客
12-25 1131
而AI智能自动化渗透测试系统,融合前沿人工智能技术与多年实战攻防经验,将复杂的黑客攻击路径高度标准化、流程化,实现从资产发现、漏洞探测、利用验证,到报告生成、溯源分析的。系统内置针对WebLogic、OA系统、物联网、工控设备等高危场景的专项插件,支持“目标盲打”和自定义参数配置,跳过冗余步骤,直击漏洞核心。选择一套专业的AI渗透测试系统,就是为您的数字业务装上“智能雷达”与“自动盾牌”,在攻防对抗中牢牢掌握主动权,筑牢高质量发展的安全基石。全面、准确的资产画像,是构建有效防御体系的第一步。
第2天:基础入门-Web应用&架构搭建&漏洞&HTTP数据包&代理服务器|小迪安全笔记|网络安全|
weixin_45635831的博客
12-28 756
26:07。
7. 网络安全-等保
最新发布
princemilo的博客
12-29 732
国家要求信息系统(网站、APP、云平台等)进行分等级的保护。
万字详解Lampiao靶机渗透全流程:Drupalgeddon2漏洞+CVE-2016-5195脏牛漏洞复现
mooyuan的网络安全博客
12-26 1137
本文详细记录了通过脏牛漏洞(CVE-2016-5195)对Lampiao靶机进行渗透测试的全过程。首先使用nmap扫描发现靶机运行Drupal服务,利用Drupalgeddon2漏洞获取初始访问权限;随后上传漏洞检测脚本,确认存在脏牛漏洞;最后通过编译执行脏牛漏洞利用程序,成功将权限从www-data提升至root。实验环境包括Kali攻击机(192.168.59.141)和Lampiao靶机(192.168.59.150),完整演示了从信息收集、漏洞利用到权限提升的渗透测试流程。
CISAW-SS安全软件认证|2026年培训日程公布,赋能安全开发,从代码源头筑牢防线
qq_44969472的博客
12-25 578
本课程旨在为软件生命周期的各类角色注入安全基因,培养能将安全能力深度集成到需求、设计、编码、测试全流程的专业人才。:针对主流开发语言(如Java, C/C++, Python等),讲解如何编写安全、健壮的代码,避免注入、溢出等经典漏洞。:掌握SAST、DAST、IAST等白盒、黑盒、灰盒安全测试技术,以及渗透测试、模糊测试等方法。政府、金融、能源、互联网等行业的软件项目经理、架构师、开发工程师、测试工程师。:从根本上转变“重功能、轻安全”的开发观念,全面提升团队的安全素养与实战技能。
第1天:基础入门-操作系统&名词&文件下载&反弹SHELL&防火墙绕过|小迪安全笔记|网络安全|
weixin_45635831的博客
12-28 637
核心知识点:文件下载类操作反弹shell技术系统权限管理系统分类:个人主机与服务器主机的区别Windows与Linux系统的命令差异网络安全要素:防火墙配置内外网隔离正向/反向连接方式权限管理:文件权限设置用户权限控制运维权限分配学习建议:掌握基础命令是前提思路比具体技术更重要避免直接攻击在线靶机。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值