从零开始的DVWA靶机攻击经历(第四天)

最新推荐文章于 2024-07-17 23:48:55 发布
最新推荐文章于 2024-07-17 23:48:55 发布
阅读量92 收藏
点赞数
分类专栏: 入门 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1481011684/article/details/117117052
版权

从零开始的DVWA靶机攻击经历(第四天)

sql injection(low难度)

sql注入本质是将输入的数据变成代码
例子:select * from Table where id = ‘输入的内容’ limte 0,10;
如果把输入的内容换成 1’ or 1=1 – 后语句变成了
select * from Table where id = ‘1’ or 1=1 – ’ limte 0,10;
在mysql里 – 是注释的意思,所以变成了
select * from Table where id = ‘1’ or 1=1
就等于没有筛选条件了,这样整个数据库就能被获取到了

  1. 用’(单引号)测试是否存在漏洞,结果报错了(You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘’’’’ at line 1),判断存在注入点
  2. 用’’(两个单引号)测试发现没有报错了说明就是用单引号闭合语句的
  3. 因此我们直接用 1’ or 1=1 – 就可以进行sql注入了
  4. 想要获取更多的信息,可用union等关键词
    简单难度用sqlmap也可以成功
    最基础用法:sqlmap -u URL
qq1481011684
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
从零开始的DVWA靶机攻击经历(第一天)
qq1481011684的博客
05-18 119
从零开始的DVWA靶机攻击经历(第一天) brute force(简单) kali中打开选择proxy,open browser 新增的打开浏览器的功能特别好,打开的浏览器代理是直接配好了的,方便了很多,不然每次都要重新配置代理就很麻烦。 登陆DVWA,并且去左边栏中的DVWA security中将安全设置为low 切换到brute force,账号密码随便输,别按回车 去bp上把intercept勾选成on,切换到浏览器,提交 bp上这时会有刚刚抓到的那个提交的包,右键,send to intruder
从零开始的DVWA靶机攻击经历(第三天)
qq1481011684的博客
05-20 106
从零开始的DVWA靶机攻击经历(第三天) file inclusion & file upload(low难度) file inclusion 登陆到file inclusion页面,观察url(http://192.168.142.132/DVWA/vulnerabilities/fi/?page=include.php)可以发现一些有价值的信息: include.php可能在 网站根目录/DVWA/vulnerabilities/fi下,因此我们尝试一下将url改成http://192.
关于搭建DVWA靶场过程中遇到的常见问题及其解决方法
lqyzkn的博客
12-22 1万+
DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 一、安装phpstudy后启动不了Apache和MySQL两个服务: 这一般是由于80、443以及3306端口被占用造成的。因为端口被占用了,就需要找出是哪些程序占用的,将这些程序关闭。 搜索栏输入cmd,右键选择以管理员身份运行。 输入netstat -abon
DVWA靶场搭建常见问题和VEGA漏洞扫描
b312738566的博客
11-23 490
工具软件:Phpstudy、dvwa、vegabuild。
DVWA靶机的下载、访问以及安装出现的一些问题
qq_45735298的博客
10-12 4290
DVWA靶机的下载与访问以及安装出现的一些问题前言环境准备创建虚拟机启动Apache和MySQL。安装DVWA平台出现的问题总结 前言 国庆前,师兄给我下达了一个任务:利用Windows_Server_2016系统搭建DVWA平台。由于我是第一次搭建,在搭建过程中遇到了各种各样的问题,通过不断翻阅博客和百度,终于国庆后在搭建出来。心想,不妨写一篇博客记录下自己是如何一步一步搭建Windows2016系统和DVWA平台的,日后自己想玩渗透也可以搭建,也让跟我一样是新手的同学知道如何搭建渗透平台。 环境准备 一
DVWA之XSS
谢公子的博客
08-05 1944
  XSS XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据恶意代码是否存储在服务器中,XSS可以分为存储型的XSS与反射型的XSS。 DOM型的XSS由于其特殊性,常...
DVWA靶机之命令注入
qq_43332077的博客
12-14 804
DVWA靶机之命令注入 command injection 命令注入是一种常见漏洞,通过攻击者拼接注入命令从而攻破漏洞,仅针对系统命令 low web页面提示ping a device,我们提交一个IP地址,测试反应 输入127.0.0.1 得知此处的用处为Ping 我们在IP地址后添加查询命令:127.0.0.1 && pwd,查看结果 在页面回显的最下端,我们看到回显 /v...
k8s环境部署dvwa靶机
09-01
k8s环境部署dvwa靶机
搭建DVWA靶机所需全部资源.rar
10-13
4. **依赖库和补丁**:DVWA可能依赖于某些特定的库或补丁,以实现其功能。这些文件可能会在压缩包中提供,确保系统环境兼容。 5. **安全测试工具**:为了测试和利用DVWA中的漏洞,压缩包可能还提供了如Burp Suite、...
用Burp对DVWA重放爆破攻击文章的配套资源
05-26
本篇文章的配套资源是针对DVWA(Damn Vulnerable Web Application)进行重放爆破攻击的一个实践教程。DVWA是一个开源的安全学习平台,旨在帮助安全专业人员和开发人员了解常见Web漏洞并进行实战演练。 首先,我们来...
DVWA Web渗透靶机
07-31
**DVWA(Damn ...此外,DVWA的可配置难度级别使得它适合不同水平的学习者,从初学者到高级研究人员都能从中受益。在实际环境中,理解并能有效应对这些漏洞至关重要,因为它们是黑客攻击和数据泄露的常见途径。
DVWA、MCIR、pikachu、Mutillidae、BWAPP靶机安装包
03-24
在网络安全领域,靶机是一种专门设计用于安全测试和学习的计算机系统或网络环境。这个压缩包文件包含了多个知名的Web安全靶场平台,如DVWA(Damn Vulnerable Web Application)、MCIR(Modular Cybersecurity ...
DVWA靶机安装(超详细教程)
热门推荐
weixin_45631954的博客
07-03 1万+
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录一、DVWA简介二、安装过程1.安装PHPstudy2.安装dvwa靶机3.配置靶机环境 一、DVWA简介 Web应用程序(DVWA)是一个很容易受到攻击的PHP / MySQL Web应用程序。其主要目标是帮助安全专业人员在法律环境中测试他们的技能和工具,帮助Web开发人员更好地了解保护Web应用程序的过程,并帮助学生和教师了解受控类中的Web应用程序安全性房间环境。 DVWA的目标是通过简单直接的界面练习一些最常见的Web漏洞
Evil-WinRM一键测试主机安全情况(KALI工具系列四十四)
LNN0212的博客
07-17 811
Kali Linux 是一个功能强大、多才多艺的 Linux 发行版 ,广泛用于网络安全社区。它具有全面的预安装工具和功能集,使其成为安全测试、数字取证、事件响应和恶意软件分析的有效平台。作为使用者,你可以把它理解为一个特殊的Linux 发行版 ,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用,也可称之为平台或者框架。注意,一定只能用于自己设备的连通性测试哦!
自建SMTP服务器:如何保障安全稳定的发信?
danplus的博客
07-17 515
自建SMTP服务器虽然可以提供更高的灵活性和控制力,但也需要投入大量的时间和精力来保障其安全和稳定。AokSend,指导您自建SMTP服务器,结合API接口,高效稳定,让邮件营销更加自主可控!
权威认可 | 海云安开发者安全助手系统通过信通院支撑产品功能认证并荣获信通院2024年数据安全体系建设优秀案例
haiyunan的博客
07-16 565
在“某省烟草数据安全体系建设规划”项目实践中,海云安基于双生命周期融合与零信任架构的总体思路,立足业务基于场景,通过建设技术、管理、运营三大体系,为公司构建了覆盖数据生命周期、应用生命周期的“数盾”,解决数据安全合规、风险管控、业务影响控制等问题,从而为公司打造一个安全可靠的数据使用环境,助力公司持续稳健发展。通过实施数据安全零信任架构,企业将显著提高数据安全性,减少数据泄露和网络攻击的风险,增强对复杂安全环境的应对能力,实现持续的安全保护和合规运营。
内容安全(深度行为检测技术、IPS、AV、入侵检测方法)
最新发布
Thewei666的博客
07-17 1066
区分不同的签名。
防洪墙的安全内容检测+http请求头
代码其实很简单
07-17 657
--1、深度检测技术(DPI和DPF是所有内容检测都必须要用到的技术);DPI--深度包检测,针对完整的数据包,进行内容的识别和检测;---2、DFI ---深度流检测 ,---看名字都知道肯定是对数据流进行检测的技术;--2、IPS ---入侵防御--3、IDS---入侵检测,AV(反病毒) http请求头,http状态码
全文翻译 | OWASP《LLM安全与治理检查清单》
lurenjia404的博客
07-17 833
本文是OWASP(开放式网络应用安全项目)发布的《LLM AI安全与治理清单》(以下简称“清单”),旨在为使用大型语言模型(LLM)的组织提供安全与治理方面的指导。清单强调了负责任和可信的人工智能(AI)的重要性,并指出AI技术,尤其是LLM,在创新、效率和商业成功方面具有巨大潜力,同时也带来了明显的挑战。文中讨论了LLM面临的挑战,包括控制和数据平面的不可分割性、非确定性设计、语义搜索的使用等,并强调了LLM增加的攻击面和相关风险。
dvwa靶机sql注入
08-04
DVWA靶机中的SQL注入是一种安全漏洞,攻击者可以通过构造恶意的SQL语句来绕过应用程序的验证和过滤机制,从而获取未授权的访问权限或者获取敏感信息。根据引用[1]和引用[2]中提到的内容,DVWA靶机中的SQL注入分为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值