DVWA(LOW)学习心得【持续更新】

最新推荐文章于 2024-08-25 18:17:58 发布
最新推荐文章于 2024-08-25 18:17:58 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: 学习 文章标签: SQL注入 DVWA靶场 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MZEPSan/article/details/103467904
版权
本文记录了作者在DVWA平台学习SQL注入(LOW级别)的过程。通过分析代码,发现输入参数id直接参与数据库查询,从而可以构造SQL语句进行注入。作者分享了构造万能密码的方法,并提供了一个SQL语法学习资源。
摘要由CSDN通过智能技术生成

应学长要求,开始学习DVWA的有关知识。虽然临近期末,但是感觉拿来在休闲时间玩玩还是挺好的。如果写得有什么问题,希望各位师傅能予以指正。

第一部分:SQL注入

登上平台之后打开如下页面:
在这里插入图片描述
就一个输入框真的看不出什么,看看代码吧…
先贴代码

<?php

if( isset( $_REQUEST[ 'Submit' ] ) ) {
   
    // Get input
    $id = $_REQUEST[ 'id' ];

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"<
最低0.47元/天 解锁文章
末章EPSan
关注
专栏目录
Dvwa 弱cookie模块攻略心得
摸鱼,看书,写作
12-07 689
求生欲很强的前言╭(╯^╰)╮  各位大佬们,我只是个小白,如果文章内有写的不对的地方请告诉我,但请不要喷。。。不要喷,我们都是文明人,不做花洒,不做喷子,关爱小白从我做起 Orz     弱cookie 这个模块貌似(不确定)1.9初期就有了,但是到目前为止网上都没有什么攻略。可能是大佬们觉得比较简单吧。 这个模块只要我们自己能找到cookie的生成规律,并且能推断下一个cookie...
dvwa靶场第三周练习以及心得(2)
Vicissitud的博客
02-15 177
dvwa靶场第三周练习以及心得(2)
08:导数-导数的定义及几何意义
最新发布
HideAsn的博客
08-25 899
08:导数-导数的定义及几何意义
[从DVWA学到了什么]
qq_43756450的博客
03-08 945
[从DVWA学到了什么] Time: 2021-3-8 Author: badbird 文章目录[从DVWA学到了什么]low级别-漏洞利用扩展知识Brute ForceCommand InjectionCSRFFile Include后门隐藏小tipsFile UploadSQL Injection盲注脚本,二分法贴一个:Weak Session IDsXSSCSP BypassJavaScript审计源码-逐级的修复方案Brute Forceimpossible.php的补漏方案Command Inj
dvwa靶场第三周练习以及心得
Vicissitud的博客
02-15 128
dvwa靶场第三周练习以及心得
DVWA的练习总结(还在补充,待续)
qq_43695654的博客
06-07 877
Brute Force: 先从low开始,在DVWA Security中调整难度,默认打开是impossible。 low: 其实,这个的话,大家因该都会想到,直接爆破肯定能出来,但是还是看下代码,点击右下角的View Source查看当前难度下的源码。 像这种代码,其实都没必要全部弄懂的,只要把关键的部分看懂就行,不过我不怎么懂这些啊,PHP还没学,只知道一点。。。 咳咳,user和pass都是...
DVWA-low通关
Akihi0718的博客
07-19 526
DVWA-low通关
SQL学习之路--DVWA等级LOW
m0_69555575的博客
06-17 535
一名想进入安全行业的普通青年
DVWA_暴力破解low等级攻略
Keiltest的博客
07-13 1016
是一个与刚入门计算机的同伴互相探讨相互请教的资源
dvwa靶场sql注入low
qq_14902381的博客
08-22 462
dvwa 靶场sql注入low
DVWA(二)】SQL盲注学习心得
未配妥剑 已入江湖
06-14 223
简析 在此之前,已经学习SQL注入,盲注是注入的进一步方法,更接近实战。而且因为“盲”字,注入也变得异常繁琐。本篇将先对DVWA的四个等级的盲注进行学习分析;然后是对盲注方法的学习心得。 在第一篇,我提到过: 习惯上输入1,可以看到返回对应1的数据库中的内容,而且输出三行,分别是 ID:1 First name:xxx Surname:xxx 具体内容不管,总之第一行是输入的内容,...
【记录】dvwa总结
weixin_30408165的博客
11-05 204
一、Brute Force 选择集束炸弹 设置payload stack attck 防御:密码加密,使用验证码,使用统一的参数代替帐号和密码。 二、Command Injection |,||,&,&&,;(linux才有) 1、ping 127.0.0.1 | net user ///////竖线表示管道命令,即将ping 127.0.0.1...
DVWA学习小计1
weixin_44181054的博客
02-15 223
DVWA学习小计 DVWA模块分类。 DVWA共有十个模块,分别是Brute Force(暴力(破解))、Command Injection(命令行注入)、CSRF(跨站请求伪造)、File Inclusion(文件包含)、File Upload(文件上传)、Insecure CAPTCHA (不安全的验证码)、SQL Injection(SQL注入)、SQL Injection(Blind)(S...
dvwa靶场第五周练习以及心得
Vicissitud的博客
02-15 223
dvwa靶场第五周练习以及心得
Linux系统安装配置XAMPP和DVWA 学习心得
tuzi0739的博客
03-27 759
准备好XAMPP 和DVWA 软件如果是.run文件直接./xampp.run 跟着图像下一步就好了如果是tar文件#tar -zxvf xampp.tar -C /opt将DVWA 文件解压到xampp下的htdocs文件夹下面 改名为dvwa#/opt/lampp/lampp start  //启动服务用浏览器访问127.0.0.1或者localhost进phpmyadmin 设置数据库添加用...
DVWA学习记录系列(一)
qq_43696276的博客
10-17 529
安装配置DVWA(基于phpstudy) 备注:从今天起日常记录小白关于DVWA学习的过程、心得以及遇到的各种问题的解决方法。 文章目录前言一、phpstudy、DVWA是什么?二、安装配置步骤1.下载2.安装及配置总结 前言 要想学习DVWA首先需要自己在电脑上配置好DVWA的网站。本文主要基于phpstudy进行对DVWA的安装及配置。 一、phpstudy、DVWA是什么? -phpstudy: 对于程序员来说,phpstudy是一个非常好用的PHP调试环境集成包,包含了最新的Apache和.
dvwa靶场第二周练习以及心得
Vicissitud的博客
01-15 210
dvwa靶场第二周练习以及心得
dvwa low 超详细原理教学
06-10
DVWA(Damn Vulnerable Web Application)是一个用于演示Web应用程序漏洞的开源漏洞评估工具。它是一个PHP/MySQL应用程序,可在各种安全测试环境中使用。 DVWA有三个安全级别:低(low)、中等(medium)和高(high)。在低安全级别下,DVWA中存在以下漏洞: 1. Brute Force:通过弱密码猜测攻击登录系统。 2. Command Execution:通过输入特殊命令攻击服务器。 3. SQL Injection:通过输入特殊SQL语句攻击数据库。 4. XSS(Cross-Site Scripting):通过输入特殊脚本攻击用户浏览器。 5. File Inclusion:通过输入特殊文件路径攻击系统文件。 下面是DVWA低安全级别的详细漏洞原理教学: 1. Brute Force Brute Force攻击是一种暴力破解密码的攻击方法。攻击者使用自动化工具或脚本尝试不同的用户名和密码组合,直到找到正确的组合为止。 在DVWA中,Brute Force漏洞通过使用弱密码来攻击登录系统。在低安全级别下,DVWA使用默认用户名和密码admin/password。攻击者可以使用Burp Suite等工具进行Brute Force攻击并尝试不同的用户名和密码组合,直到找到正确的组合为止。 2. Command Execution Command Execution漏洞是一种攻击者可以通过输入特殊命令来执行远程系统命令的漏洞。在DVWA中,Command Execution漏洞通过使用特殊字符来攻击服务器。 在低安全级别下,DVWA中存在一个命令执行漏洞,攻击者可以在输入框中输入特殊字符(如;、&、|等),并通过执行系统命令来攻击服务器。 3. SQL Injection SQL Injection漏洞是一种攻击者可以通过输入特殊SQL语句来执行远程数据库操作的漏洞。在DVWA中,SQL Injection漏洞通过使用错误的输入验证来攻击数据库。 在低安全级别下,DVWA中存在一个SQL Injection漏洞,攻击者可以在输入框中输入特殊SQL语句,并通过执行SQL语句来攻击数据库。 4. XSS(Cross-Site Scripting) XSS漏洞是一种攻击者可以通过输入特殊脚本来攻击用户浏览器的漏洞。在DVWA中,XSS漏洞通过使用未经过滤的用户输入来攻击用户浏览器。 在低安全级别下,DVWA中存在一个XSS漏洞,攻击者可以在输入框中输入特殊脚本,并通过执行脚本来攻击用户浏览器。 5. File Inclusion File Inclusion漏洞是一种攻击者可以通过输入特殊文件路径来攻击系统文件的漏洞。在DVWA中,File Inclusion漏洞通过使用未经过滤的用户输入来攻击系统文件。 在低安全级别下,DVWA中存在一个File Inclusion漏洞,攻击者可以在输入框中输入特殊文件路径,并通过执行文件来攻击系统文件。 总之,DVWA是一个非常实用的漏洞评估工具,可以帮助安全人员了解各种Web应用程序漏洞的原理和防御方法。在使用DVWA进行漏洞测试时,一定要注意安全,并且不要在生产环境中使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值