csrf漏洞（pikachu靶场）

最新推荐文章于 2025-04-17 17:04:40 发布

24team

最新推荐文章于 2025-04-17 17:04:40 发布

阅读量1k

点赞数

分类专栏：跨站脚本-伪造相关靶场

本文链接：https://blog.youkuaiyun.com/qq_46527080/article/details/111704997

版权

跨站脚本-伪造相关靶场专栏收录该内容

3 篇文章

订阅专栏

1.基于get型

在这里插入图片描述修改信息，抓个包，然后进行构造url链接
payload
咱们将地址改成eee
在浏览器中验证
然后必须是用户登录状态，才能进行

http://127.0.0.1:8086/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=18656565545&add=eee&email=lili%40pikachu.com&submit=submit

在这里插入图片描述发现修改成功
我们也可以将这个链接生成一个短链接进行伪造

2.基于post

切记访问此html时候一定要确保用户登录
先抓一个包
发现访问的目录，url，还有需要提交的表单都显示出来了
在这里插入图片描述这个我们就得需要写一个提交的表单了
要造一个跳转到的这个源码的from

http://127.0.0.1:8086/pikachu/vul/csrf/csrfpost/csrf_post_edit.php

在这里插入图片描述然后访问这个表单
然后会直接跳转到那个post的页面，直接修改成功
发现直接利用成功

127.0.0.1:8086/pakachu/vul/csrf/tiao.html

在这里插入图片描述
发现数据库的信息也发生改变

在这里插入图片描述

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

24team

关注关注

0
点赞
踩
4

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

CSRF攻击-pikachu靶场

qq_43936524的博客

10-10

571

文章目录CSRF概念CSRF原理pikachu实例防范措施 CSRF概念 Cross-Site request forgrey简称CSRF，在CSRF攻击场景中攻击者会伪造一个请求，这个请求一般是链接，用户点击以后整个攻击也就完成了，故CSRF也被称为one click攻击。本质是攻击者盗用了目标用户的身份，以这个身份发送请求。 CSRF原理举例：用户C登录A网站进行购物，攻击者B想把用户A购物的收货地址改为自己的地址，那么攻击者B则需要1.用户C的登录权限 2.向服务器发送更改地址的请求。攻击者B

[PiKaChu靶场通关]CSRF

网络安全知识分享

10-12

4244

[PiKaChu靶场通关]CSRF一、介绍二、攻击细节三、防御措施检查Referer字段添加校验token四、靶场内容CSRF（GET）一、介绍跨站请求伪造（英语：Cross-site request forgery），也被称为 one-click attack 或者 session riding，通常缩写为 CSRF 或者 XSRF，是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本（XSS）相比，XSS 利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网

1 条评论您还未登录，请先登录后发表或查看评论

pikachu靶场通关之CSRF

Python毕设源码程序王哥

04-12

2938

Cross-site request forgery 简称为“CSRF”，在CSRF的攻击场景中攻击者会伪造一个请求（这个请求一般是一个链接），然后欺骗目标用户进行点击，用户一旦点击了这个请求，整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。

Pikachu靶场-CSRF

最新发布

sucker的博客

04-17

1109

（Cross-Site Request Forgery，跨站请求伪造），是一种利用已认证用户的身份，诱使该用户执行恶意操作的攻击手段。CSRF 攻击是一种相对简单但非常危险的攻击方式，它依赖于用户的身份认证信息，通过伪造用户请求来进行攻击。CSRF 攻击的关键在于利用用户在目标站点上的认证信息（如 Cookie），欺骗用户在不知情的情况下发起操作请求。假设用户已登录系统，且攻击者通过某种方式获取了当前用户的Token（例如诱导用户访问恶意页面窃取Token，或Token生成算法可预测）。

Pikachu靶场--CRSF

qq_65150735的博客

06-23

775

Pikachu靶场--CRSF（跨站请求伪造）

Pikachu靶场——跨站请求伪造(CSRF)

来日可期的博客

10-07

1730

全称Cross-site request forgery，翻译过来就是跨站请求伪造，是指利用受害者尚未失效的身份认证信息（cookie、会话等），诱骗其点击恶意链接或者访问包含攻击代码的页面，在受害人不知情的情况下以受害者的身份向（身份认证信息所对应的）服务器发送请求，从而完成非法操作（如转账、改密码等）。CSRF与XSS最大的区别就在于，CSRF并没有盗取cookie而是直接利用。

CSRF漏洞+附pikachu靶场详解

zyh1588的博客

01-12

2398

小白回顾csrf漏洞知识，复现pikachu靶场。

pikachu靶场中的CSRF、SSRF通关

qq_68163788的博客

05-26

2421

在Pikachu靶场中，CSRF（Cross-Site Request Forgery）和SSRF（Server-Side Request Forgery）是两种常见的Web安全漏洞。CSRF攻击利用用户在已认证的Web应用程序上执行未经意的操作，通过伪装请求来执行恶意操作，例如更改用户密码或发送资金。而SSRF漏洞则允许攻击者从受害服务器上执行请求，可能导致访问内部系统、绕过防火墙或执行其他恶意操作。

Pikachu之CSRF漏洞：当你的账号被“遥控”了

m0_58442919的博客

02-19

932

CSRF漏洞就像网络世界的"遥控劫持"，攻击者无需知道你的密码，只需诱导你点个链接或访问个页面，就能操控你的账号。通过今天的实验，我们不仅拆解了GET/POST两种攻击手法，还掌握了三大防御绝招。“请求不裸奔，Token随身跟，Cookie上把锁，验证加一层！

pikachu靶场通关全流程

braty_的博客

06-08

1920

web安全新手靶场，，过程详细，，萌新易学

Pikachu漏洞靶场系列之CSRF

weixin_45868644的博客

09-11

1687

文章目录概述CSRF攻击需要条件CSRF和XSS的区别检测是否存在CSRF漏洞一、CSRF（get）二、CSRF（post）CSRF（token）防护措施概述 CSRF 是 Cross Site Request Forgery 的简称，中文名为跨域请求伪造，在CSRF的攻击场景中，攻击者会伪造一个请求（一般是一个链接），然后欺骗目标用户进行点击，用户一旦点击了这个请求，这个攻击也就完成了、所以CSRF攻击也被称为“one click”攻击。 CSRF攻击需要条件 1、目标网站没有对修改个人信息修改的请

Pikachu靶场——CSRF漏洞

知世郎

08-10

1210

CSRF全称为跨站请求伪造（Cross-site request forgery），是一种网络攻击方式，在CSRF的攻击场景中攻击者会伪造一个请求（这个请求一般是一个链接），然后欺骗目标用户进行点击，用户一旦点击了这个请求，整个攻击就完成了。也被称为 one-click attack 或者 session riding。

Pikachu（皮卡丘）靶场---CSRF

m0_74850066的博客

06-04

541

你可以这么来理解：攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，比如以你的名义发送邮件、发消息，盗取你的账号，添加系统管理员，甚至于购买商品、虚拟货币转账等。

pikachu靶场-csrf

mlws1900的博客

04-22

774

csrf（英语：Cross-site request forgery），也被称为或者，通常缩写为或者，是一种挟制用户在当前已登录的Web上执行非本意的操作的攻击方法。跟（XSS）相比，利用的是用户对指定网站的信任，CSRF 利用的是对用户的信任。csrf与xss的区别如下xss：中文名称跨站脚本攻击，通常出现在搜索框、留言板、评论区等地方分类：反射性、存储型、DOM 型攻击方式：构造恶意链接，诱骗用户点击盗取用户的 cookie 信息。

Pikachu之CSRF解题

Bird&Bird

07-03

651

目录概述CSRF(get)CSRF(post)CSRF(token) 概述 CSRF(跨站请求伪造)概述 Cross-site request forgery 简称为“CSRF”，在CSRF的攻击场景中攻击者会伪造一个请求（这个请求一般是一个链接），然后欺骗目标用户进行点击，用户一旦点击了这个请求，整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。很多人搞不清楚CSRF的概念，甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理没搞清楚导致的。这里列举一个场景解

pikachu靶场-CSRF

braty_的博客

02-22

597

Cross-site request forgery简称为"CSRF”。在CSF的攻击场景中攻击者会伪造一个请求（这个请求一般是一个链接）然后欺骗目标用户进行点击，用户一旦点击了这个请求，整个攻击也就完成了（本题是修改个人信息）。所以CSRF攻击也被称为为"one click'"攻击。

pikachu靶场 CSRF

Al_1的博客

10-01

411

跨站请求伪造，get方式和post方式

CSRF攻击实验pikachu靶场

12-31

对于本案例中的GET型CSRF漏洞测试地址为：<http://192.168.146.161/pikchu-master/vul/csrf/csrfget/> 和 <http://192.168.2.151:801/pikachu/vul/csrf/csrfget/>[^1][^2]。 #### 创建恶意HTML文件为了模拟一次...