实验室:用URL参数预先填写的表单输入数据的点击夹克
学徒
该实验室扩展了基本点击劫机示例在实验室:使用CSRF代币保护的基本点击夹克。实验室的目的是通过使用URL参数预先处理表单来更改用户的电子邮件地址,并诱使用户无意中单击“更新电子邮件”按钮。
要解决实验室,请制作一些HTML,以将帐户页面构成框架,并通过单击“单击我”诱饵来更新其电子邮件地址。更改电子邮件地址时,实验室将解决。
您可以使用以下凭据登录到自己的帐户:维纳:彼得
笔记
受害者将使用Chrome,因此请在该浏览器上测试您的利用。
解决方案
- 登录到目标网站上的帐户。beplay体育能用吗
转到利用服务器并将以下HTML模板粘贴到“主体”部分:
<样式> iframe {位置:相对;宽度:$ width_value;身高:$ height_value;不透明度:$不透明度;z索引:2;} div {位置:绝对;顶部:$ top_value;左:$ side_value;z索引:1;} 测试me
- 对模板进行以下调整:
- 将$ URL替换为目标网站用户帐户页面的URL,其中包含“更新电子邮件”表格。beplay体育能用吗
- 将合适的像素值替换为$ height_value和iframe的$ width_value变量(我们分别建议700px和500px)。
- 将合适的像素值替换为$ top_value和$ side_value变量的诱饵Web内容,以便“更新电子邮件”按钮和“ Test Me”诱饵操作对齐(我们分别建议400px和80pxbeplay体育能用吗)。
- 设置不透明度值$不透明度,以确保目标iFrame是透明的。最初,使用不透明度为0.1,以便您可以对齐iframe操作并根据需要调整位置值。对于提交的攻击,值为0.0001。
- 点击店铺接着查看利用。
- 悬停在“测试我”上,并确保光标更改为手,表明DIV元素的位置正确。如果没有,请通过修改样式表的顶部和左侧属性来调整DIV元素的位置。
- 正确排列的DIV元素后,将“测试我”更改为“单击我”,然后单击店铺。
- 现在单击向受害者提供利用并应解决实验室。