【网络安全】Mac上DVWA环境搭建和命令注入简单测试

最新推荐文章于 2024-07-03 10:28:57 发布
最新推荐文章于 2024-07-03 10:28:57 发布
阅读量1.2k 收藏 11
点赞数 3
分类专栏: 网络安全 文章标签: web安全 macos docker DVWA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kinghzking/article/details/126684051
版权

导读

开发环境

版本号描述
MacOS11.5
Docker desktop2.2.0.3

DVWA介绍

DVWA(Damn Vulnerable Web Application)是randomstorm的一个开源项目。一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。

简单说,就是一个开源的靶机系统。

DVWA共有十个模块,分别是:
1.Brute Force(密码破解)
2.Command Injection(命令行注入)
3.CSRF(跨站请求伪造)
4.File Inclusion(文件包含)
5.File Upload(文件上传)
6.Insecure CAPTCHA (不安全的验证码)
7.SQL Injection(SQL注入)
8.SQL Injection(Blind)(SQL盲注)
9.XSS(Reflected)(反射型跨站脚本)
10.XSS(Stored)(存储型跨站脚本)

Docker方式搭建

为什么用Docker

当前问题:

  • 本机环境已经千疮百孔,php版本有点高,好像前几年自学php安装的,不适合DVWA。
  • DVWA需要配置数据库,稍显麻烦。
  • DVWA还用到了Apache服务器。
  • 得让上面三个配置妥当,想想都是头疼的事情,忽发奇想,使用Docker

Docker优势:快速搭建,环境独立。

下载安装Docker Desktop

为了不记那么多命令,我使用的是Docker Desktop,这是带图像界面的Docker,用起来还是挺方便的。(小编电脑安装的是2.2.0.3的版本,几年前的了)

  • 打开官网下载地址:https://www.docker.com/products/docker-desktop/
  • 根据自己Mac的CPU芯片版本下载合适的安装包(左边是Intel的,右边是苹果芯片的)
    在这里插入图片描述
  • 安装就是下一步、下一步。
  • 启动Docker Desktop,点击鲸鱼这个图标,像下面显示绿色,就表示启动成功了。
    在这里插入图片描述

ps: 不启动Docker的时候执行docker命令会报错的。

安装DVWA

# 下载镜像
docker pull citizenstig/dvwa

# 设置映射端口并启动 -p后边的8080:80代表把容器里的80端口映射给宿主机的8080端口。这样做了映射之后,可以通过8080端口访问该dvwa的主页。
docker run --rm -p 8080:80 citizenstig/dvwa

本机访问一下:http://localhost:8080 出现下图就表示安装成功
在这里插入图片描述

点击图中的create /reset database 按钮,设置数据库。

默认的登录账号密码是:admin/password

测试

设置安全等级

DVWA的十个模块都是有安全等级的,我们先设置Low等级进行测试。
在这里插入图片描述

ps:
测试过程中出现了设置安全等级后,切换到功能模块,安全等级并未生效的现象,重启docker能解决该问题。

Command Injection命令注入测试

Command Injection模块,本来的功能是通过输入框输入一个ip,后台接收到该ip后执行system函数,调用系统命令ping,并将ping的结果返回给页面。(以输入localhost为例,其实最终就是执行了ping localhost命令。)
在这里插入图片描述

当我们输入localhost && whoami,最终就是执行了ping localhost && whoami命令,从而多执行了一个命令,效果如下图所示:

在这里插入图片描述

总结:通过特殊的命令组合,拼接出我们想要的命令,并执行,这就是命令注入。

其他环境搭建

Linux真机搭建

直接参考这个教程吧,思路很清晰《Web安全实战入门十分钟搭建DVWA渗透靶场》 https://www.bilibili.com/video/BV1pE41177xt

Windows搭建

phpStudy集成了各种环境,很容易搭建,参考文章 《DVWA安装以及模块使用教程》https://blog.csdn.net/Estrus5/article/details/124512714

参考资料

夜猫逐梦
关注
专栏目录
Mac os系统下使用xampp+dvwa或者通过docker搭建DVWA靶机
YYYYYRUI的博客
10-29 1203
一、安装xampp 下载地址:XAMPP Installers and Downloads for Apache Friends 我下载的安装包是xampp-osx-7.4.21-0-vm.dmg 根据引导安装完成后,启动app,在General里面点击start,等待启动完成后,可以在service里看到三个项目都有绿色小点表示成功。 在Network里面,有两个默认设置(默认状态都是Disable),选中localhost:8080 ->80(Over SSH),Enable以后,就.
命令执行漏洞详解及DVWA靶场练习
c_programj的博客
06-25 3271
命令执行漏洞1.产生原因2.漏洞危害3.远程命令执行4.系统命令执行命令执行常用特殊字符5.常见 命令常见系统命令与功能windowslinux6.防范措施7.dvwa靶场练习windows【Low】【Medium】【High】【Impossible】linux【low】【Medium】【High】 1.产生原因 应用未对用户输入做严格的检查过滤,导致用户输入的参数被当成命令来执行。攻击者可以任意执行系统命令,属于高危漏洞之一,也属于代码执行的范畴。 RCE:远程命令和代码执行。 2.漏洞危害 ①继承web
DVWAMac上的安装配置
qq_45944626的博客
12-02 1443
DVWAMac上的安装配置 此处使用的是XAMPP+DVWA 刚开始配置DVWA,在网上找了一大波教程,其中有几个步骤总是有点懵逼,所以自己写了一个比较简单的配置步骤,希望对大家的学习有帮助。 一、解压安装DVWA XAMPP下载地址 DVWA下载地址 安装XAMPP,与普通应用安装相同 安装好之后运行XAMPP 在Services中打开MySQL、 Apache、 ProFTPD服务 在NetWork服务中打开localhost:8080 -> 80 服务 接下来在V
渗透测试注入
最新发布
CheatMyself的博客
07-03 364
靶场:DVWA,low级别输入弹出计算器,可任意命令执行。
Mac电脑使用Phpstudy搭建DVWA
没有故事
09-14 802
原因是因为: 在PHP study》 数据库管理中修改过root的密码,导致配置文件中的账号密码和数据库里面的账号密码对不上。打开浏览器,输入自己本机的IP地址:192.168.xx.xx. 或者输入 :127.0.0.1。后面的DVWA的配置文件中修改的账号和密码要和此处的保持一致,否则会报错。解压安装包,将文件夹名称改为: DVWA ,不改也行。网站链接:https://www.xp.cn。修改一下数据库密码:数据库》修改root密码。根据电脑类型选择下载版本。把解压后的DVWA的文件拖到这个里面。
超详细❗️Mac OS下载、安装、配置dvwa+xampp搭建dvwa靶机
m0_47985235的博客
03-08 2011
dvwa+xampp for Mac
mac docker 安装dvwa
zhuziwan的博客
11-22 1670
macdocker安装dvwa
DVWA靶场搭建教程,网站搭建
09-06
DVWA(Damn Vulnerable Web Application)是一个非常流行的在线安全学习平台,用于教育和测试网络安全技能。这个靶场包含了一系列不同级别的漏洞,如SQL注入、XSS攻击、文件包含等,帮助安全专业人员和开发人员了解...
DVWA-master靶场搭建过程
09-16
网络安全领域,DVWA(Damn Vulnerable Web Application)是一个非常受欢迎的开源Web应用程序,用于教育和测试安全专业人员以及开发者的网络安全技能。DVWA靶场的搭建是一个学习和实践网络攻防的重要步骤,它提供了...
DVWA靶场的安装-超详细
05-29
你可以尝试进行各种安全测试,如SQL注入、XSS攻击等,通过实践来提升你的网络安全技能。同时,每个漏洞后面都有详细的解释,帮助理解其工作原理和防御方法。 总之,DVWA靶场是一个极好的学习资源,无论你是初学者...
大数据安全网络安全基础知识
qq_41821067的博客
02-08 4588
不要把自己的努力看的太重,毕竟大家都在努力 这里写目录标题商业扫描器命令执行一句话木马超全局变量用post方法去接收pw变量SQL注入分为显注和盲注git安装git与github查看隐藏的目录和文件夹三款系统扫描器openavsnessusnexpose登录界面用BUrp抓登录页面包登录界面防御引申;报错信息不要过于详细csrf及其总结安全工具篇arp欺骗:address resolution protocolARP协议的原理过程ARP缓存表ARP欺骗kali中有关ARP欺骗的工具ettercaparpsp
Mac下通过Docker安装DVWA靶机
qq_42910323的博客
04-02 789
安装docker 通过brew安装docker brew cask install docker 2.启动docker并且注册dockerid 拉取dvwa镜像 1.2. 启动dvwa cd workplace docker container cp dvwa:/var/www . docker run -d --rm -it -p 8080:80 -p 8081:8080 -v p...
mac 安装使用 DVMA
lcf枫的博客
06-23 573
mac 安装使用DVMA 通过学习dvma, 来学习基本的web安全基础知识,以前这一块都比较缺失,以下记录以下。 git地址 开源的相关介绍 安装使用 这里使用的是docker 镜像的方式。那么首先就需要有docker 软件,自己Z提前安装好。 docker 下载连烈 docker run --rm -it -p 80:80 vulnerables/web-dvwa 看到如下信息就是在下...
Mac上安装DVWA靶场与PHPstudy(详细)
ki2637192651的博客
05-29 536
DVWA是一款基于PHP和Mysql开发的web靶场练习平台,提供了一系列漏洞场景以供小白进行练习,用户可以通过攻击这些漏洞场景来学习和实践一些技术。如果过程遇到问题,现检查如上步骤是否有误,在寻求他人帮助,自己动手解决问题才能记忆到到更多知识呢!这里仅提供下载配置方法,如果想要了解更多请自行前往官网或其他资料获取。靶场也不止这一个,大家可以去其他靶场练一下,熟悉不同的环境。这里大家请自行去搜寻资料获取到DVWA的靶场文件,网上很多。可以看到我们数据库账号和密码,如果没有请检查前面文件配置有没有出错。
Mac os配置DVWA环境
喵喵喵
07-19 2871
文章目录前言安装步骤前提:安装xampp下载dvwa解压和安装开启MySQL和Apache新建账户修改登录信息访问localhost/dvwa并Creatdatabase 前言 虽然Mac自带了Apache和PHP,但是改各种参数也可能让新手折腾很久,所以我们选择用XAMPP一键安装。 安装步骤 前提:安装xampp 安装过程参考XAMPP的安装 下载dvwa 点此下载DVWA 解压和安装 解压d...
Mac os安装DVWA环境教程
weixin_30454481的博客
12-12 1232
Mac os安装DVWA环境教程 1.尽管Mac自带Apache和php 事实上Mac和WIN都用XAMPP一键化安装比较方便 2.解压DVWA-master 改名为dvwa移动到XAMPP的目录 3.安装好XAMPP之后进入Manage Serves 开启MySQL和Apache 有可能系统默认是开启的此时需要在terminal中手动关闭,不然会引起冲突 执行su...
安全测试-dvwa靶机搭建
吕海洋的博客
03-15 423
推荐直接使用官方docker镜像搭建。 docker run --rm -itd -p 8888:80 --name dvwa vulnerables/web-dvwa
xampp下载地址 一个集成的易于安装的WEB环境部署包
weixin_33690367的博客
07-26 536
XAMPP(Apache+MySQL+PHP+PERL)是一个功能强大的建站集成软件包。这个软件包原来的名字是 LAMPP,但是为了避免误解,最新的几个版本就改名为 XAMPP 了。它可以在Windows、Linux、Solaris、Mac OS X 等多种操作系统下安装使用,支持多语言:英文、简体中文、繁体中文、韩文、俄文、日文等。[1] 许多人通过他们自己的经验认识到安装 Apache 服务器...
DVWA——命令执行
m0_74426634的博客
04-05 1264
任意命令执行原因:当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system、exec、shell_exec等,当用户可以控制命令执行函数中的参数时,将可以注入恶意系统命令到正常命令中,造成命令执行攻击。脚本语言(如PHP)优点是简洁、方便,但也伴随着一些问题,如速度慢、无法接触系统底层,如果我们开发的应用(特别是企业级的一些应用)需要一些除去WEB的特殊功能时,就需要调用一些外部程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

夜猫逐梦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值