DVWA安装笔记

最新推荐文章于 2023-05-06 18:46:29 发布
最新推荐文章于 2023-05-06 18:46:29 发布
阅读量2k 收藏 10
点赞数 2
分类专栏: 渗透

一、搭建LAMP环境

二、安装DVWA

2.1 下载DVWA

2.2 解压安装

将下载的应用解压到apache默认的主目录/var/www/html:
unzip DVWA-master.zip -d /usr/www/html

2.3 启用功能

DVWA上的漏洞,需要些刻意的配置才能被利用。访问:http://172.0.0.2/dvwa如下,红色表示不能正常使用:
在这里插入图片描述

  • 问题:PHP function allow_url_include: Disabled
    处理:编缉/etc/php.ini将allow_url_include值由Off改为On

  • 问题:PHP module gd: Missing
    处理:yum install -y php-gd

  • 问题:reCAPTCHA key: Missing
    处理:编缉dvwa/config/config.inc.php

    • 配置:$_DVWA[ ‘recaptcha_public_key’ ] = ‘6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg’;

    • 配置:$_DVWA[ ‘recaptcha_private_key’ ] = ‘6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ’;

  • 问题:
    Writable folder /var/www/html/DVWA-1.9/hackable/uploads/: NO)
    Writable file /var/www/html/DVWA-1.9/external/phpids/0.6/lib/IDS/tmp/phpids_log.txt: NO
    处理:编辑 /etc/php/5.6/apache2/php.ini
    sudo chmod 777 uploads
    sudo chmod 777 phpids_log.txt

  • 问题:[User: root] Writable folder /var/www/html/DVWA/config: No
    sudo chmod 777 /var/www/html/DVWA/config

  • 问题:Unable to connect to the database
    处理:编缉dvwa/config/config.inc.php,将$_DVWA[ ‘db_password’ ]的值改成自己设的数据库root账号的密码
    重启httpd(service httpd restart)刷新页面如下图:
    在这里插入图片描述
    点击上图中的Create/Reset Database后会创建数据库,完后自动跳转登录页面。

三、使用DVWA

3.1 登录DVWA

DVWA登录页面(改成自己主机IP):http://192.168.220.128/dvwa/login.php

默认用户名密码是:admin/password
在这里插入图片描述

3.2 界面介绍

登录后页面如下图,左侧是漏洞菜单,选择相应漏洞即进入存在该漏洞的页面。
在这里插入图片描述

3.3 渗透学习(以SQL Injection为例)

进入“SQL Injection”页面,如下图所示
“User ID”那个框显然是注入的框了,但是我们就是小白,就不懂怎攻击,怎么办呢?
练习题不会写,那就直接看答案啊。点击页面右下角“View Help”就可以查看。(View Source是查看当前实现submit查找这个功能的php源代码)
在这里插入图片描述
在上图中点击“View Help”,就会打开如下界面。其中黑条处就是注入代码(鼠标选中就可以看到是什么内容了)。
所以dvwa自己都把答案准备好了,完全没必要百度这道题怎么写。

在这里插入图片描述

3.4 切换编码安全等级

dvwa编码有“Low/Medium/High/Impossible”四个等级;其中Impossible级表示不存在漏洞,无法攻击。
即比如如果dvwa配置为Impossible级,那么3.3中的注入页面是没法注入的;或者反过来,如果你用各种方法都没法攻击dvwa,那要看看是不是把dvwa配置为了Impossible。
我们可以在页面右下角的”Security Level“得知当前dvwa配置的安全等级,然后可以通过”DVWA Security“配置dvwa的安全等级。
在这里插入图片描述

TzerQ
关注
专栏目录
DVWA_暴力破解low等级攻略
Keiltest的博客
07-13 1012
是一个与刚入门计算机的同伴互相探讨相互请教的资源
DVWA靶场笔记命令行注入原理
Alonegrief的博客
11-19 620
命令行注入 原理:利用可以调用系统命令的web应用,通过构造特殊命令字符串的方式,把恶意代码输入一个编辑域来改变网页动态生成的内容,最终实现本应在服务端才能工作的系统命令。 例子: 打开dvwa的靶场,把安全级别调为low级别的,打开Command Injection,要我们输入ip,ping命令操作 直接查看源码 发现: 获取post进来的数据直接进行一个系统的判断,这里输入的会(本次靶场是在win系统上面)与’ping’拼接在一起,然后通过当做命令执行,并且将完整的输出以字符串的方式返回输,所以我们
dvwa安装、配置、使用教程(Linux)
weixin_33697898的博客
05-09 1046
一、搭建LAMP环境 首先搭建好LAMP环境,如没配好参见“Linux+Apache+MySQL+PHP配置教程” 或者使用官方推荐的XAMPP:https://www.apachefriends.org/download.html   二、安装DVWA 2.1 下载dvwa 官网:http://www.dvwa.co.uk/ 直接下载:https://codeload.github.com/et...
DVWA通关攻略之命令注入
最新发布
勿山几已
05-06 2333
简要介绍命令注入漏洞,演示手工和burp爆破挖掘命令注入漏洞/RCE
DVWA可以输哪些Linux命令,【DVWA】Command Injection(命令注入)通关教程
weixin_35958783的博客
05-01 163
日期:2019-08-01 16:05:34更新:作者:Bay0net介绍:利用命令注入,来复习了一下绕过过滤的方法,还可以写一个字典来 fuzz 命令注入的点。0x01、 漏洞介绍仅仅需要输入数据的场合,却伴随着数据同时输入了恶意代码,而装载数据的系统对此并未设计良好的过滤过程,导致恶意代码也一并执行,最终导致信息泄露或者正常数据的破坏。用户的一切输入都是不可信的。0x02、Low Securi...
DVWA-命令注入 全级别教程
weixin_44716769的博客
09-08 5881
命令注入 实验准备 在做DVWA攻防练习时发现,注入命令返回的信息竟然是乱码,猜测可能是因为DVWA是在windows下部署的原因,底层系统是中文GBK编码所致。 在输入127.0.0.1测试时,发现如下乱码 在PHPstudy的安装目录下(每个人不同,本例中)目录下,有个dvwaPage.inc.php文件,打开文件在277行修改,将UTF-8改为GBK或者GB2312即可。 重新输入命令,不再乱码 Low等级 查看源码 stristr(string,search,before_search) s
DVWA学习笔记全等级
06-08
DVWA学习笔记全等级
DVWA靶场笔记之csrf漏洞原理
Alonegrief的博客
11-20 1371
DVWA漏洞源码分析——(三)csrf Csrf原理: Csrf中文称为跨站请求伪造,利用受害者未失效的身份认证信息(cookie,会话等)诱骗其点击恶意链接或者去访问攻击者构造的含有攻击代码的页面,在受害者不知情的情况下,以受害者的身份向服务器发送请求,从而达到一些非法操作(转账,改密)。 Csrf和xss的攻击方式有点相似,但是不同的是: (1) csrf需要登录后才能操作,xss不需要 (2) csrf是请求页面api来时先非法操作,xss是先当前页面植入js脚本来修改页面内容 例子: 这里我们用dv
DVWA 共12关通关笔记
09-12
DVWA 共12关通关笔记DVWA(Damn Vulnerable Web Application)是一个用于网络安全教育的开源Web应用程序。它包含各种安全漏洞,为初学者和专业人士提供了实践和学习Web安全漏洞的机会。DVWA分为多个级别,从低...
DVWA靶场笔记之文件包含原理
Alonegrief的博客
11-23 290
文件包含: 服务器执行php文件时,能够通过包含函数加载另一个文件中的php代码,当被包含的文件中存在木马时,也就意味着木马程序会在服务器上加载执行 在php中文件包含函数分为四个: require(),require_once(),include(),include_once() 其中require和include的区别是,require出现错误的时候,会直接报错并退出程序的执行,而include包含的过程中如果出现错误,会抛出一个警告,程序继续正常运行。 Request_once和include_onc
DVWA之命令注入(Command Injection)
qq_39682037的博客
03-22 2140
命令注入(Command Injection) 命令注入是一种攻击,其目标是通过易受攻击的应用程序在主机操作系统上执行任意命令。当应用程序将不安全的用户提供的数据(表格,cookie,HTTP标头等)传递到系统外壳时,可能会发生命令注入攻击。在这种攻击中,攻击者提供的操作系统命令通常是使用易受攻击的应用程序的特权执行的。由于没有足够的输入验证,因此可能会发生命令注入攻击。 Security Lev...
命令注入: DVWA级别分别设置Low、Medium、High、Impossible 进行命令注入
彭淦淦的博客
05-09 5302
2.2 步骤 实现此案例需要按照如下步骤进行。 步骤一:DVWA级别设置Low 1)访问DVWA,选择Low级别,然后点击“Command Injection”,如图-15所示 图-15 2)输入192.168.111.142并提交,正常显示结果,如图-16所示 图-16 3)输入192.168.111.142&&net user并提交,爆出了用户名,如图-17所示 图-17 步骤二:DVWA级别设置Medium 1)访问DVWA,选择Medium级别,然后点
安全渗透学习-dvwa(命令注入)
重启专家的博客
08-20 2548
命令注入(Command Injection),是指在某些需要输入数据的位置,还构造了恶意的代码破坏了原先的语句结构。而系统缺少有效的过滤,最终达到破坏数据、信息泄露甚至掌控电脑的目的。 low: 源码: 对指令没有任何的过滤处理 target参数为将要ping的ip地址,比如在输入框输入127.0.0.1后,对于windows系统,会发出ping 127.0.0.1操作 这里可以引入命令行的几种操作方式: A && B: 先执行A,如果成功,执行B; A || B :先.
Dvwa练习06 SQL注入(Low)
coco3105的博客
02-19 1161
等级low分别用了手工和sqlmap注入,medium没实践,high采用的是旧版本,没过滤参数。
linux下dvwa文件远程包含漏洞,DVWA-文件包含漏洞
weixin_35034072的博客
05-13 358
本周学习内容:1.学习web安全深度剖析;2.学习安全视频;3.学习乌云漏洞;4.学习W3School中PHP;实验内容:进行DVWA文件包含实验实验步骤:Low1.打开DVWA,进入DVWA Security模块将 Level修改为Low,点击Submit提交;2.打开File Inclusion文件包含漏洞模块。3.点击View Source查看服务器代码,发现对Page参数没有任何过滤和校验...
DVWA1.10】Command Injection通关笔记
EC_Carrot的博客
01-05 207
难度Security Level: lowSecurity Level: mediumSecurity Level: highSecurity Level: impossible Security Level: low <?php if( isset( $_POST[ 'Submit' ] ) ) { // Get input $target = $_REQUEST[ 'ip' ]; // Determine OS and execute the ping com
DVWA靶机搭建-基于CentOS Stream系统
zaixiaziyang的博客
05-06 387
Damn Vulnerable Web Application (DVWA)(译注:可以直译为:"该死的"不安全Web应用网站),是一个编码糟糕的、易受攻击的 PHP/MySQL Web应用程序。它的主要目的是帮助安全专业人员在合法的环境中,测试他们的技能和工具,帮助 Web 开发人员更好地了解如何增强 Web 应用程序的安全性,并帮助学生和教师在受控的课堂环境中,了解 Web 应用程序的安全。DVWA的具体目标是通过简单明了的界面,来演练一些最常见的 Web 漏洞,这些漏洞具有不同的难度级别。
kali安装DVWA
热门推荐
songling515010475的专栏
01-08 1万+
kali@kali:~$ whereis mysql mysql: /usr/bin/mysql /etc/mysql /usr/share/mysql /usr/share/man/man1/mysql.1.gz kali@kali:~$ whereis apache2 apache2: /usr/sbin/apache2 /usr/lib/apache2 /etc/apache2 /usr/share/apache2 /usr/share/man/man8/apache2.8.gz kali...
DVWA安装与配置指南
"该资源是关于DVWA(Damn Vulnerable Web Application)的安装与配置指南,适合初学者,提供了一步一步的指导,避免在安装过程中遇到的问题。" DVWA是一个专门设计用于安全测试的PHP/MySQL web应用,它包含了许多常见...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值