DVWA靶场基础题

1.点击创建数据库提示 “Could not connect to the MySQL service.Please check the config file.”
解决方法: 找到DVWA\config\ 目录下的config.inc.php 文件;
找到 : D V W A [ ‘ d b p a s s w o r d ’ ] = ‘ p @ s s w 0 r d ’ ; 将 其 改 为 : _DVWA[ ‘db_password’ ] = ‘p@ssw0rd’; 将其改为: DVWA[dbpassword]=p@ssw0rd;_DVWA[ ‘db_password’ ] = ‘root’;
这里的$_DVWA[ ‘db_password’ ] 设置的是MySQL root用户的密码,把密码改为root
之后登陆
在这里插入图片描述成功连接数据库
2. brute force :暴力破解,是指黑客利用密码字典,使用穷举法猜解出用户口令,是现在最为广泛使用的攻击手法之一。
(1)打开burpsuite抓靶场的包,用户名为admin 密码随便输,借助火狐的插件进行抓包如果抓取登录的请求包后并且用户名和密码都是明文的话,便可进行爆破。
在这里插入图片描述在这里插入图片描述 (2 )将包发送到Intruder,选中Payloads,载入字典,点击Start attack进行爆破
(3) length相对较大的即为密码 爆破成功 在这里插入图片描述2.command injection:命令注入,是指在某些需要输入数据的位置,还构造了恶意的代码破坏了原先的语句结构。而系统缺少有效的过滤,最终达到破坏数据、信息泄露甚至掌控电脑的目的。
(1)命令连接符:&&:前一个指令执行成功,后面的指令才继续执行,就像进行与操作一样
||:前一个命令执行失败,后面的才继续执行,类似于或操作
&:直接连接多个命令
|:管道符,将前一个命令的输出作为下一个命令的输入
;:直接连接多个命令
3.csrf:Csrf全称为Cross-Site Request Forgery中文解释为跨站请求伪造击。
(1) 输入新密码 在这里插入图片描述 (2)点击change并抓此包,发送到repeater
在这里插入图片描述 ( 3)把密码改为自己的密码
在这里插入图片描述
(4)重新登陆即可发现密码已被修改
在这里插入图片描述4.File Upload:
在这里插入图片描述上传文件只能上传 JPEG or PNG格式,要上传PHP需要用brupsuite更改文件的格式,即将jpeg改为php即可
在这里插入图片描述
5. File Inclusion:文件上传后即可通过网址访问文件
在这里插入图片描述

  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值