不多说,直接开始

准备

在对该博客进行观察后,发现这个博客是使用了静态博客软件搭建的(本地由md文件生成html文件部署到服务器)

从这些地方也可以看出来

图一说明这是使用了一个静态博客程序

图二说明博客部署在GitHub page上,这个服务只能部署静态界面

开搞

既然验证在前端,那直接查看前端源代码看看能不能解决

访问需要密码的界面就会弹出以下提示框

该提示框无法禁止弹出,并且如果密码错误或者是点击取消,页面将会重定向到其他页面

法一

如何弹出一个这样的提示框?学过前端的人应该知道可以用js实现

在chrome内的对应网页设置内有这样的一个设置

我们可以将JavaScript禁用

禁用之后,访问页面即可看到文章

但是!!!! 由于禁用了JavaScript,页面的部分效果将无法加载,页面将无法正常显示

法二

有没有办法在不禁用JavaScript的情况下访问呢?

办法是有的,使用f12先看看源代码

居然无法正确显示。。。。。

当然,这难不倒我们,只需要用一个软件来发送http请求并获取内容即可

查看代码

我们发现了校验密码的代码,pwd变量内存储了正确密码的sha256值,通过在线破解网站即可得到密码明文,输入即可解决

法三

但是上面的方法依然不完美,在线破解不是万能的,一部分记录是收费的,也不是所有sha值都可以查询到对应的明文

虽然我们在上面的源代码中已经可以得到关于文章的大部分信息了,但是为了追求完美还是再想想别的方案

对于github.io的域名搭建的博客,说不定可以到对应的GitHub page仓库内clone整个网站的代码,对刚刚的验证代码进行修改,在本地打开

从另一个方面看,如果我们可以拦截浏览器收到的数据,把对应的密码验证代码删除是不是也可以达到效果

开始操作

打开BurpSuite,需对浏览器进行配置,在对https网站进行抓取的时候还需配置证书,这部分网上教程很多就不多多赘述了

打开软件,在如图位置的复选框打勾即可拦截服务器发回的数据

找到页面的数据,对于其他数据包,按下Forward放行

改为以下内容并点击Forward

即可绕过密码并且不影响页面显示效果

对于这个软件来说,功能还有很多,更多功能可以百度学习