注:本文章仅供学习交流网络安全相关技术,请严格遵守相关法律法规!
最新2.0整理版已发布!欢迎指教(●'◡'●)
新版链接:2.0整理版
一、环境准备
1.创建一台虚拟机用来搭建靶机环境
2.Phpstudy安装
1)下载安装包
官网下载地址: https://www.xp.cn/
根据自己的电脑配置选择下载64位或32位
2)安装
4)测试
或者直接访问本机ip地址
5)用kali访问站点
3. DVWA安装(参考文章:dvwa下载及安装-图文详解+phpStudy配置-CSDN博客)
1)下载安装包
1)下载安装包
网盘链接:https://pan.baidu.com/s/1vSNA87QVnXVzMWKdSdHcTQ?pwd=7b0j
提取码:7b0j
2)解压
3)搭建站点
访问
我们需要编辑配置文件
recaptcha_public_key: 6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg
recaptcha_private_key: 6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ
保存关闭
修改MySQL密码
浏览器访问http://192.168.241.141/dvwa-master/
4)登录DVWA
Username: admin
Password: password
将安全级别修改为low
Kali也可以访问
二、skipfish扫描
1.基于爬网扫描(挨个链接深入扫描)
skipfish -o /test/sftest/test01 http://192.168.241.141/dvwa-master/
初次运行建议等待
扫描完成
查看结果
点击一个漏洞查看
2.基于字典扫描(在url后加上字典内容拼凑尝试访问,时间长)
查看skipfish自带字典
字典地址:/usr/share/skipfish/dictionaries
指定字典扫描
skipfish -o /test/sftest/test02 -S /usr/share/skipfish/dictionaries/minimal.wl http://192.168.241.141/dvwa-master/
3.其他
-D www.baidu.com #指定域
-I /dvwa-master/ #指定站点
-l 10 #指定每秒请求数
-m 10 #最大并发数
-A username:password #指定用户名和密码,用冒号分隔