DVWA靶场第一周内容

最新推荐文章于 2024-05-09 18:18:32 发布
最新推荐文章于 2024-05-09 18:18:32 发布
阅读量150 收藏
点赞数
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Anpetixa/article/details/128591616
版权

DVWA靶场第一周内容

Command Injection

low

题目中,Enter an IP address 指让我们输入IP地址,所以我们首先会想到本机IP地址127.0.0.1。但输入后会发现出现乱码,所以我们要解决乱码问题。

在这里插入图片描述

首先,打开phpStudy\PHPTutorial\WWW\DVWA\dvwa\includes目录下的dvwaPage.ini.php文件,将文件中的utf-8全部替换为GBK,再次刷新网页,输入127.0.0.1&&dir,会发现无乱码,显示正常,本题结束。在这里插入图片描述

& :前面一个命令无论是否执行,后面的命令都能执行,两个命令都执行。
&&:前面一个命令执行成功后,才能执行后面一个命令,两个命令都执行。
|:前面一个命令无论是否执行,后面的命令都能执行且只执行后面。
||:前面一个命令不能正常执行后,才能执行后面一个命令。

在这里插入图片描述
有乱码的版本

在这里插入图片描述
无乱码的最终界面

Medium

题目解法与low相似,但代码中告诉我们其会将我们输入的"&&“替换为“ ”,将”;“替换为” "。所以我们要输入127.0.0.1&dir,最终无乱码。在这里插入图片描述

High

在高级的版本中,我们可以得知有更多的字符会被替换,所以我们要阅读。最终选择使用’|’连接符进行注入,输入命令:127.0.0.1 |dir。在这里插入图片描述

XSS(Reflected)

low

打开此题,首先映入眼帘的是一个问句提示语加一个输入框:What’s your name?首先先随便输入一串字符123然后看着其反应,发现输入后,就可以看到下方红色字体Hello 123!并且url的name传参值就是我们输入的值123。
下一步,对URL中的name传入 xss代码

<script>alert(1)</script>

在这里插入图片描述

在这里插入图片描述

Medium

再次仿照上一题做法,发现无法达成目标。

<sc<script>ript>alert(1)</script> or
<scr<script>ipt>alert(1)</script>

观察源码,我们发现,输入“<scr/ipt> “后会将其替换为”",所以我们可以通过这一个规则将原先的代码转换为可以使用的。
对URL中的name传入 xss代码,此语言,对规则可以规避替换的结果。
在这里插入图片描述

High

再次使用 尝试,发现仍然是无法达成目标。我们可以再次分析源代码,发现上一题的方法也没有用,我们继续构造代码。
使用事件型XSS代码

<img src=1 οnerrοr=alert(1)>
<img%20src=1%20οnerrοr=alert(1)>

在这里插入图片描述

File Upload

Low

首先先要编写一个123.php文件,在文件中写入以下内容:

<?php phpinfo();?>

然后点击upload上方的选择文件选项,传入文件123.php,最后复制出现的地址并进行访问。在这里插入图片描述
在这里插入图片描述

Anpetixa
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kali2021.3安装dvwa靶场
02-24
适用人群:刚刚学习kali的爱好者 dvwa是一个入门web渗透的典型靶场,有的朋友喜欢安装到kali机里,所以我编辑了这个教程供朋友们参考,亲自验证有效的!!!
渗透测试-DVWA漏洞
zzywan
05-05 245
dvwa基础漏洞
靶场练习
qq_44832048的博客
06-02 1394
一、SSH服务 首先把虚拟机导入,打开虚拟机之后, (1)导入命令,ifconfg 得到,攻击机(即自己的IP), 接下来对靶场机器进行探测,我们使用nmap命令 nmap -sV ip/24 得到好多有价值的东西,第一个是目标靶机的IP,其次是发现了 开放的端口和对应的服务,此靶场机器上开启了ssh服务和两个http服务。 接下来我们分析特殊端口,尤其对开放http服务的大...
在线靶场-墨者-网络安全1星-IP地址伪造(第2题)
weixin_42079912的博客
07-19 383
打开网站,发现需要登录,尝试用弱口令登录,试出使用账号test 密码test进行登录,发现只有台湾地区的ip才能登录。 打开浏览器代理,运行burp suite,进行登录抓包。抓到数据包后,将数据包send to Repeater,在Repeater的页面修改数据内容,添加X-Forwarded-For: 140:113:215:224(ip地址是台湾的即可)。点击GO发送,得到网页反馈信息,伪...
在线靶场-墨者-网络安全2星-IP地址伪造(第1题)
weixin_42079912的博客
07-19 455
点开靶场地址,发现要进行登录,根据题意得知是弱口令,于是使用账号admin,密码admin登录,发现登录进去了,但是不能访问,要特定地址才可以。于是浏览器挂代理,打开burp suite进行抓包。抓到数据包后,将数据包send to Repeater,数据包添加一句话伪造ip地址X-Forwarded-For: 127.0.0.1(本地机)。然后点击GO发送,即可得到key。 另一种方法:直接...
用正则表达式作校验
ChinaOk的专栏
05-10 2309
正则表达式的校验功能比通常相象的要强得多。它可以简单地测试输入值是否为空,也可以校验输入的IP地址是否正确。微软公司对正则表达式的说明极其简单并含糊不清。本文将通过示例说明正则表达式的使用,介绍如何更换这些字符串函数。正则表达式是个很有用的工具!我将通过二个示例来说明正则表达式的应用,可以用VBScript和JavaScript来编写相关代码。第一个示例是大家熟悉的正则表达式校验,第二个示例说
DVWA靶场环境搭建-dvwa.rar
10-15
DVWA靶场环境文件
DVWA靶场源码分享
12-11
学习使用,大家一起进步,此资源是为了无法在github上临时下载的同学分享,以备用,不需要积分,如果被调整了积分请联系UP主
DVWA靶场环境---新手入坑
10-28
DVWA靶场环境---新手学习web安全的必备靶场之一,DVWA (Dam Vulnerable Web Application)是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。
dvwa靶场训练.rar
03-17
DVWA靶场,适合新手练习漏洞基础,web安全,渗透,漏洞基础,典型漏洞,漏洞原理刨析,搭建在自己虚拟键,带源码,多分析
High级别的命令注入
qq_43592364的博客
05-19 491
漏洞:命令注入 打开火狐浏览器开启代理并进入DVWA靶场,将安全级别设置为High 选择Conmmand Injection模块,在Enter an IP address一栏注入命令:testcmdinjection|net user l testcmdinjection|net user 在包含注入命令数据提交后可根据回显结果是否包含执行命令结果特征进行判断是否存在注入命令漏洞,例如...
JAVA 学习·泛型(二)——通配泛型
wr114514的博客
05-02 1084
介绍了Java泛型的重要知识点——通配泛型及其应用。
限流的学习
weixin_43675252的博客
05-01 469
限流算法:滑动窗口算法滑动日志算法漏桶算法令牌桶算法。
STM32CubeMX学习笔记30---FreeRTOS内存管理
H2z1220的博客
05-06 831
FreeRTOS 操作系统将内核与内存管理分开实现,操作系统内核仅规定了必要的内存管理函数原型,而不关心这些内存管理函数是如何实现的,所以在 FreeRTOS 提供了多种内存分配算法(分配策略),但是上层接口(API)却是统一的。这样做可以增加系统的灵活性:用户可以选择对自己更有利的内存管理策略,在不同的应用场合使用不同的内存分配策略。
Java---类和方法的再学习
m0_74012211的博客
05-05 1122
Java类与对象
场景文本检测&识别学习 day08(无监督的Loss Function、代理任务、特征金字塔)
丿罗小黑的博客
05-03 461
无监督的Loss Function(无监督的目标函数) 根据有无标签,可以将模型的学习方法分为:无监督、有监督两种。而自监督是无监督的一种 无监督的目标函数可以分为以下几种: 生成式网络的做法,衡量模型的输出和固定的目标之间的差距,主要考虑输入数据是怎么分布的,即 “给定Y,如何生成X”。如auto-encoder:输入一张干扰过的图,通过编码器-解码器,然后得出一张还原后的图,通过对比原图和生成的还原后的图之间的差异 判别式网络的做法,衡量模型的输出和固定的目标之间的差异,主要考虑输入和输出的映射关系
【android systrace学习
最新发布
q_2474932226的博客
05-09 153
这里面基本涵盖了systrace的基础知识。
力扣数据库题库学习(5.7日)--1757. 可回收且低脂的产品
Jesse_Kyrie的博客
05-07 361
这个问题要求的筛选条件很简单,只需要简单的WHERE语句即可 **WHERE low_fats = "Y" AND recyclable="Y";** 太简单了,简直侮辱我的智商。。扛不住😕😕😕
[C++基础学习-04]----C++数组详解
一伦明悦的博客
05-02 452
一维数组和二维数组是在编程常用的数据结构,它们具有不同的特点和适用场景。1、一维数组一维数组是一种线性结构,它由一系列按顺序存储的元素组成;通常用于存储一组相同类型的数据,例如整数、浮点数、字符等;访问速度比较快,通过数组下标即可快速定位和访问特定元素;适用于存储列表、向量、序列等线性数据。2、二维数组二维数组是一种表格状的结构,它由一维数组组成的数组,用于存储表格数据或矩阵数据;通常用于存储二维结构的数据,例如游戏地图、图像数据、二维表格等;
dvwa靶场xss攻击
09-25
DVWA靶场是一个用于学习和测试网络安全漏洞的虚拟环境。在DVWA靶场,有一个特定的漏洞被称为XSS(跨站脚本攻击)。XSS攻击是一种利用网页应用程序对用户输入的处理不当而进行的攻击。通过在受害者浏览器执行恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值