原文地址http://blog.51cto.com/cybersec/1429397
下载了OWASP BWA(Broken Web Application)的虚拟机,先从DVWA开始练习,无奈第一步登录界面的Username和Password怎么都不是网上所说的admin和password,甚至DVWA的安装说明文档也是错误地给的admin和password。经过一番周折才发现登录界面的Password已经改成了admin,备忘一下。
-
到BWA靶机中的dvwa的web目录/owaspbwa/owaspbwa-svn/var/www/dvwa下查看login.php,发现登录时php计算密码的md5值,并后台连接mysql数据库。
-
查看/owaspbwa/owaspbwa-svn/var/www/dvwa/config/config.inc.php配置文件,得知连接mysql的用户名、数据库名及口令均为dvwa
-
进入mysql数据库:mysql -u dvwa -p。输入dvwa后,连接上mysql,在mysql提示符下输入
use dvwa;
show tables; 看到有users表,接着
select * from users; 可以看到有名为admin的用户,其password为21232f297a57a5a743894a0e4a801fc
按照上面操作得到我的dvwa的密码
得出的密码,很复杂 。我也不懂谁改了我的密码,之前都是admin,admin登录的,如果有知道的望告知