DVWA学习笔记

已于 2022-06-19 17:24:04 修改
阅读量565 收藏
点赞数
分类专栏: web安全 文章标签: 安全
于 2021-03-04 00:49:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52361291/article/details/114340493
版权

DVWA-Brute Force
1.low
首先我的DVWA是装在虚拟机里的
在这里插入图片描述
mysql是5.0版本以上,然后把虚拟机和现实机连在同一网络里,通过浏览器访问http://10.0.0.5/DVWA/login.php就可以进入DVWA里了在这里插入图片描述

输入username和password就可以进入靶场页面我的
我的浏览器因为用的是谷歌浏览器所以是直接翻译了的如果不翻译应该是全英文。
点击蛮力这一个漏洞首先用的难度是low在这里插入图片描述
这个难度是没有任何保护措施也就是说可以无限次的去爆破来得出账户和密码,开启burp来完成我们的攻击,在用户密码处输入admin和123456点击登录可以看到被burp截断的数据包在这里插入图片描述
可以看到有username=admin&password=123456把数据包发送到intruder这个模块在这里插入图片描述
清除掉§这个符号,由于知道用户名是admin所以只用爆破密码就可以了在123456处加上§这个符号攻击模式用狙击手(Sniper)就可以了,点击有效载荷在这里插入图片描述
在有效载荷处选择运行时文件可以自己定义字典在这里插入图片描述
选择好字典后点击开始攻击就可以进行爆破了在这里插入图片描述

可以看到password和其他的长不一样就可以确定password是正确的密码。

2.medium
在这个难度下我们的服务器只是延长了不正确密码的响应时间并没有对我们输入次数有限制,所以我们依然可以对密码进行爆破在这里插入图片描述
依旧用burp进行抓包在这里插入图片描述
然后发送到intruder这个模块然后和low难度一样的做法就行了。

3.high
在这个难度下加上了CSRF令牌像low难度下那样爆破已经不行了在这里插入图片描述
但是它并未对输入次数有限制所以依然可以对密码进行爆破,用burp抓包在这里插入图片描述
可以看到在这里插入图片描述
将数据包发送到intruder模块
分别将password和user_token的后面加上§这个符号在这里插入图片描述
攻击模式选择音叉(pitchfork)点击选项将线程数调成1在这里插入图片描述

在Grep -Extract里点击add然后在这里插入图片描述

输入上面图里内容点击获取回复得到在这里插入图片描述
将value后的复制下来点击ok,将重定向改为总是在这里插入图片描述
在有效载荷处将1的字典选好2选择递归搜索在这里插入图片描述
将复制下来的value粘贴进初始载荷点击开始攻击就可以了。

phjiangswangluo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
DVWA 共12关通关笔记
09-12
基本上都过来了。
DVWA-master安装
02-28
学习网络安全的利器
DVWA 简介及安装
最新发布
刘箫-技术库
03-05 1275
DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web 应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。
DVWA Installation
08-15
DVWA all package. DVWA-master.zip
DVWA通关手册.docx
08-19
文档内部包含DVWA平台,所有类型漏洞低中高等级的攻击过程,非常仔细。也有部分自己的攻击方法,值得一试。
dvwa安装和使用指南
chuange6363的博客
08-14 313
DVWA(dema vulnerable web application)是一个基于PHP/MYSQL环境写的一个web应用。DVWA是randomstorm的一个开源项目。他是常规的web漏洞教学和检测web脆弱性的程序,目标是协助安全专家测试。他可以测试的漏洞包括sql注入,xxs,sql...
DVWA靶场虚拟机搭建教程
Victor1889的博客
03-21 4066
DVWA是一款面世时间较长的Web渗透靶场,向网络安全专业人员提供合法的专业技能和应用测试环境,其特点是提供了包含Low、Medium、High、Impossible四个等级的渗透防护,防护等级越高,渗透难度越大,平时常用于我们进行XSS、CSRF漏洞的练习等,今天为小伙伴们带来DVWA安装与配置方法。
DVWA环境配置
weixin_45728648的博客
08-13 1432
DVWA是一个包含有很多漏洞的web系统,所以千万不要将他放到你的工作服务器上,以免其他应用受到牵连。我们建议你将他安装在你的内网的测试机器上(如虚拟机),且仅供测试使用。 本文章全部所需文件均在文章末尾链接中 DVWA初始化安装 DVWA是基于PHP/mysql环境开发的,所有需要PHP/MYSQL环境来支持的运行,在安装它前,建议直接使用XAMPP集成软件来搭建PHP/Mysql环境。下面将介绍他在windows环境下的安装。 1)将xampp和dvwa.rar文件解压,将dvwa文件拷贝到XA
服务器的搭建与搭建DVWA项目
weixin_42496533的博客
07-22 529
虚拟机
渗透初识之DVWA靶场搭建及使用(详细图文)
热门推荐
m0_60884805的博客
09-28 1万+
我将环境搭在win7,漏洞环境建议还是在虚拟机上搭建。
Kali下安装 dvwa 的完整详细教程
lza20001103的博客
07-11 7999
Kali下安装 dvwa 的完整详细教程
DVWA学习笔记全等级
06-08
DVWA学习笔记全等级
DVWA-master.zip
01-04
DVWA-master.zip
DVWA-2.0.1
09-23
在Github下载的DVWA 2.0.1,资源github上可找,如果所需下载积分超过1,那没必要。。。。.。。。。。。。
DVWA靶场源码分享
12-11
学习使用,大家一起进步,此资源是为了无法在github上临时下载的同学分享,以备用,不需要积分,如果被调整了积分请联系UP主
DVWA-master靶场
03-23
dvwa靶场运行在Windows或Linux环境下可以使用集成环境安装,比如phpstudy,然后将这个文件解压放到网站根目录下,配置一下配置文件中数据库连接密码,然后在浏览器访问本地web服务即可。
dvwa安装教程
weixin_34310127的博客
11-16 1544
概述 DVWA (Damn Vulnerable Web Application) 是用 PHP+MySQL 编写的一套用于漏洞检测和教学的程序,支持多种数据库,包括了 SQL 注入、XSS 等一些常见的安全漏洞。 总之dvwa就是一个我们练习xss和sql注入的一个环境 因为我不喜欢把这个东西安装虚拟机和自己的笔记本...
【语言环境】win2008R2SP1+WAMP环境部署
Fighting_hawk的博客
02-09 5115
1. 掌握虚拟机安装系统的方法; 2. 掌握部署WAMP环境的方法;
DVWA安装,ALMP环境搭建以及php版本转换
12-23 227
前言 本文记录DVWA(Damn Vulberability Web App)在虚拟机安装配置,包括ALMP环境的搭建和php版本的转换。 目录 2.ALMP环境搭建 3. php版本切换 一. DVWA安装配置 1. 搭建虚拟机,设置虚拟机网络为桥接模式(Bridged),可用ifconfig -a,产看虚拟机ip。 参考资料: DVWA教程和 DVW...
dvwa ubantu
09-21
根据提供的引用内容,搭建DVWA(Damn Vulnerable Web Application)在Ubuntu上的步骤如下: 1. 更新系统并安装mysql-server和apache2: - sudo apt update - sudo apt install mysql-server - sudo apt install apache2 2. 配置mysql: - sudo mysql - create database dvwa; - alter user 'root'@'localhost' identified with mysql_native_password by '123456'; - exit 3. 安装php和php-mysql: - sudo apt install php php-mysql 4. 克隆DVWA并将其移动到/var/www/html/目录下: - git clone https://github.com/digininja/DVWA - mv DVWA dvwa 5. 配置DVWA: - sudo mv dvwa /var/www/html/ - sudo chmod -R 755 /var/www/html/dvwa/ - sudo cp /var/www/html/dvwa/config/config.inc.php.dist /var/www/html/dvwa/config/config.inc.php - sudo vim /var/www/html/dvwa/config/config.inc.php - 修改以下两行配置: - $_DVWA[ 'db_user' ] = 'dvwa'; 改为 $_DVWA[ 'db_user' ] = 'root'; - $_DVWA[ 'db_password' ] = 'p@ssw0rd'; 改为 $_DVWA[ 'db_password' ] = '123456'; 6. 重启apache服务器: - sudo service apache2 restart

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值