记一次DVWA sql注入的poc编写

已于 2023-11-01 14:05:24 修改
阅读量116 收藏
点赞数
分类专栏: 网络安全 文章标签: 网络安全 安全
于 2023-10-31 20:59:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56109788/article/details/134148435
版权
本文介绍了如何在KaliLinux上使用DVWA(DamnVulnerableWebApplication)的安全测试工具,分别设置低、中、高三个难度等级,并指导如何安装和使用browser_cookie3模块以进行相关操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 一、等级LOW

 1.将DVWA的难度设置为low

 

 在kali上运行此代码,注意这里需要安装browser_cookie3模块(pip install browser_cookie3),如安装不上,可以更新kali的源路径为/etc/apt/sources.list。2023kali最新源资源kali2023更新源_kali最新更新源_飞去月球的傻子的博客-CSDN博客随便选一个复制进去。

保存成功后一定记得更新apt(执行apt update命令需要等待三五分钟),更新成功后再安装browser_cookie3库

运行成功

二、等级MEDIUM

将等级调到最中级,运行下列代码。

运行成功

三、等级HIGH

将安全等级调到高级,运行下列代码

运行成功

sql注入pythonpoc_DVWA SQL-injection 附python脚本
weixin_39896256的博客
12-17 424
SQL-Injectionlow等级首先我们将dvwa等级调到low 如图接下来选择SQL Injection,并在提交框中输入正常值1,查看返回结果接下来检测是否存在注入,分别输入 1' and 1=1 1' and 1=2 当我们输入1' and 1=1时,发现报错页面,提示我们语句没有闭合,所以我们输入1' and '1'='1和 1' and '1'='2得到如上回显信息说明存在注入...
Drupal 7.31SQL注入getshell漏洞利用详解及EXP
Coisini的博客
06-15 4042
0x00 这个漏洞威力确实很大,而且Drupal用的也比较多,使用Fuzzing跑字典应该可以扫出很多漏洞主机,但是做批量可能会对对方网站造成很大的损失,所以我也就只是写个Exp不再深入下去。 0x01 关于漏洞的原理和POC在我的博客上已经有文章进行解释,这里只是着重说一下利用过程。配合POC的效果,我主要是从远程代码执行和GetShell方面去做的利用。 远程代码执行利用: 1.使用超级管理...
POC——DVWA‘s File Upload
weixin_45260839的博客
06-17 255
POC——DVWA's File Upload
POC——DVWA‘s SQL Injection
weixin_45260839的博客
06-09 355
POC——DVWA's SQL Injection
POC——DVWA‘s File Inclusion
weixin_45260839的博客
06-19 173
POC——DVWA's File Inclusion
DVWA靶场SQL注入POC
hovcfuti的博客
10-31 207
学习编写poc,先从最简单的DVWA靶场的sql注入练习。
编写一个能够验证dvwasql注入漏洞的poc
07-13
我可以帮你提供一个简单的示例代码来验证 DVWA(Damn Vulnerable Web Application)中的 SQL 注入漏洞。请注意,这个示例仅用于教育目的,不要在未经授权的情况下使用它。 ``` import requests def check_sql_...
DVWA靶场XSS三种类型漏洞练习
c_programj的博客
05-14 2237
DVWA靶场XSS三种漏洞练习反射型XSS(非持久性)【low】【Medium】【High】【Impossible】存储型XSS(持久性)【Low】【Medium】【High】【Impossible】DOM型【Low】【Medium】【High】【Impossible】总结:XSS漏洞常见函数: 反射型XSS(非持久性) 反射型 【low】 后台码源: <?php header ("X-XSS-Protection: 0"); // Is there any input? if
项目实习(五)网络渗透实验
eck_777的博客
09-26 7400
这是大学期间进行的生产实习内容,主要是进行一次简单的网络渗透测试。 实习的目的及任务 实习的目的 生产实习是实现理论知识和实践相结合的重要环节。通过实习,学生将对于课堂学习的基础和专业理论知识有更深入的掌握。特别是对信息安全技术与工程的最新发展和应用有较深入的了解。同时通过生产实习,进一步锻炼学生理论与实践相结合的能力,提高学习的主动性,为毕业后的社会工作打下良好的基础。 实习任务要求 (1)严...
wed安全攻防
Yang____xiao的博客
04-07 2611
第五章 Metasploit 一,Metasploit简介 本章中示例以Kali操作系统为基础,该操作系统预装Metasploit及在其上运行工具的第三方工具。Kali系统的下载地址为http://www.kali.org/downloads/。 Metasploit框架( Metasploit Framework,MsF)旨在方便渗透测试,具有很好的扩展性,便于渗透测试人员开发、使用定制的工具模板。 Metasploit可向后端模块提供多种用来控制测试的接口(如控制台、Web、CLD)。Metas
python DVWA文件上传POC练习
weixin_56537388的博客
09-10 324
这里需要将内容变成这种格式的请求头,这里可以用笨方法一个一个改,但是这里是可以通过python的正则表达式来提高我们的效率的。这里先选择低难度的文件上传,低难度的是没有任何过滤可以直接上传的,先上传一个php一句话木马,使用burpsuite抓包。在头部信息里其实只要UA信息就可以了,cookie和accept可以要也可以不要,可以自己慢慢修改。首先,构造POC我们首先要明白漏洞利用的流程,然后要知道请求包的格式,然后才能针对性的POC。这里按照下面的步骤,如果要求不同选择其他正则表达式即可。
poc练习-dvwa靶场sql注入(盲注)
qq_44248518的博客
02-24 381
dvwasql注入poc(Python)
poc练习-dvwa xss反射
qq_44248518的博客
02-25 137
poc练习-dvwa xss反射
poc练习-dvwa文件包含漏洞
qq_44248518的博客
02-24 192
poc练习-dvwa文件包含漏洞
DVWA之三:CSRF
weixin_30799995的博客
08-14 167
CSRF与XSS不同,它称为跨站请求伪造,它是利用其他页面的恶意脚本来加载访问或操作存在CSRF的漏洞的可信网站。 1.Low级别 核心代码如下: <?php if(isset($_GET['Login'])){ //Getusername $user=$_GET['username']; //Getpassword ...
DVWA靶场通关
..
01-24 3630
Brute Force low等级: 先随便输一下账号密码,在bp抓包发送到intruder模块,先点击清除§。 然后选中下面admin和password的值,点击添加§,表明这是要爆破的点。 选择爆破模式集束炸弹(Clusterbomb),对于这几种模式的区别,可以看一下这篇博客。 burpsuite中intruder模块爆破的四种模式_liweibin812的博客-CSDN博客_burp intruder 模式 转到有效载荷(payload)这个界面,加.
DVWA大通关详解(持续更新)
世间繁华梦一出
11-25 4158
** LOW ** BRUTE Force(爆库) <?php if( isset( $_GET[ 'Login' ] ) ) { // Get username $user = $_GET[ 'username' ]; // Get password $pass = $_GET[ 'password' ]; $pass = md5( $pass ); // Check the database $query = "SELECT * FRO
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8693
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
Nuitka 已经不再安全? Nuitka/Cython 打包应用逆向工具 -- pymodhook
最新发布
qfcy的博客
05-09 1322
pymodhook是一个录任意对Python模块的调用的库,用于Python逆向分析,能录模块的任意函数调用,以及类的任意方法调用,通过DLL注入实现了Nuitka/Cython应用的逆向。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值