DVWA靶场通关
文章平均质量分 92
归去来兮-zangcc
悟已往之不谏,知来者之可追.实迷途其未远,觉今是而昨非.CSDN博客专家 网络安全领域优质创作者 github漏扫工具搞笑选手 低危表演艺术家-漏洞盒子·公益联盟领袖证书 CNVD原创漏洞证明证书️*7 CVE水洞编号*1 想学习Java安全/代码审计的可以关注我的公众号或联系我 目前在企业做SDL开发安全,每天和代码打交道,搞安全的同时,顺便写写文章解闷,所以有了这个博客。
展开
-
DVWA-SQL注入全等级绕过方法
DVWA-SQL注入全等级绕过方法前言一、Low级别union注入判断字段数查表名查字段二、Medium级别二、High级别总结一些初学疑问为什么要加个单引号’,闭合到底是怎么用?前言 在开始之前,先说一下我对SQL注入的原理的一些理解:SQL注入 是在输入的字符串中注入了SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而执行,因此遭到数据泄漏或者数据的破坏。 攻击者可以从数据库中获取敏感数据,造成大量敏感信息泄露;修改数据库内容,原创 2021-03-29 02:32:26 · 2966 阅读 · 0 评论 -
Windows环境安装DVWA
Windows环境安装DVWA环境一、安装phpStudy二、安装DVWA一、安装phpStudy 先从网上下载好phpStudy,这个是免费的。(本来是想上传资源的,但是它提示因为资源已经存在,所以我上传不了我的资源)安装说明(特别注意)安装路径不能包含“中文”或者“空格”,否则会报错(例如错误提示:Can’t change dir to 'G:\x65b0\x5efa\x6587\)保证安装路径是纯净的,安装路径下不能有已安装的V8版本,若重新安原创 2021-03-02 00:40:17 · 2839 阅读 · 0 评论 -
DVWA-DOM型XSS全等级绕过方法
DOM型XSS全等级绕过前言一、LOW级别二、Medium级别图片插入语句法三、High级别字符 # 绕过服务端过滤四、Impossible级别前言 DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。DOM型XSS其实是一种特殊类型的反射型XSS,它是基于DOM文档对象模型的一种漏洞。在网站页面中有许多页面的元素,当页面到达浏览器时浏览器会为页面创建一个顶级的Do原创 2020-12-30 01:27:19 · 3280 阅读 · 7 评论 -
DVWA-CSRF跨站请求伪造全等级绕过方法
CSRF--DVWA全等级绕过前言一、low级别二、Medium级别三、High级别四、Impossible级别总结前言CSRF,跨站请求伪造,Cross-site request forgery受害者:用户在当前已登录的Web应用程序上执行非本意的操作。攻击者:攻击者欺骗浏览器,让其以受害者的名义执行自己想要的操作。一、low级别二、Medium级别三、High级别四、Impossible级别总结 本站所有文章均为原创,欢迎转载,请注明文章原创 2020-12-17 20:36:14 · 3669 阅读 · 0 评论 -
DVWA-文件上传全等级绕过(一句话木马+中国菜刀+蚁剑)
DVWA文件上传前言一、low级别1.1 一句话木马1.2 中国菜刀使用1.3 蚁剑二、Medium级别三、High级别四、Impossible级别前言 文件上传漏洞是对于上传文件的类型内容没有进行严格的过滤检查,使得攻击者可以通过上传一些木马获取服务器的webshell,因此文件上传漏洞带来的危害通常都是致命的。一、low级别打开dvwa,File Upload 会看到有红色报错,具体解决办法请参考我的原创 2020-12-13 22:37:49 · 12188 阅读 · 1 评论 -
DVWA-文件包含全等级绕过方法
dvwa文件包含File Inclusion全等级绕过前言一、Low级别1.1分析文件包含漏洞测试网页1.2 构造URL暴露重要信息1.3 测试本地脚本运行1.4 测试远程脚本运行1.5 包含一句话木马文件,并用菜刀连接1.5.1 一句话木马1.6 上菜刀二、Medium级别2.1双写绕过2.2大小写绕过2.3 绝对路径绕过三、High级别3.1 file协议包含本地文件来进行绕过四、impossible级别分析总结前言 文件包含漏洞:开发人员为了使代码更灵原创 2020-12-13 03:21:58 · 4024 阅读 · 2 评论 -
DVWA文件包含报错The PHP function allow_url_include is not enabled.的解决方法
解决方法前言一、修改php配置文件二、重启mysql和apache服务前言 打开File Inclusion,发现红色报错内容The PHP function allow_url_include is not enabled.(PHP函数allow_url_include未启用)。一、修改php配置文件 /etc/php/7.4/apache2/ 文件夹cd /etc/php/7.4/apache2/原创 2020-12-13 02:18:31 · 8707 阅读 · 5 评论 -
DVWA文件上传出现Incorrect folder permissions&The PHP module GD is not installed.的解决方法
文章目录前言一、解决办法:1.设置文件夹权限2.安装php-gd前言 打开FileUpload的时候看到有红色的报错信息如上图所示: 报错一:Incorrect folder permissions: /var/www/html/dvwa/hackable/uploads/Folder is not writable.文件夹权限不正确:Folder is not writable.文件夹不可写。 原创 2020-12-13 02:02:47 · 5567 阅读 · 2 评论 -
Burp Suite抓不了DVWA本地包localhost127.0.0.1的解决办法
Burp Suite抓不了dvwa包的解决办法一、浏览器设置代理二、修改登录地址一、浏览器设置代理首选项>网络设置>设置打开Burp Suite,并且要先确认浏览器已经打开了代理可以发现,无论在dvwa里怎么输入,Burp Suite都抓不了包二、修改登录地址解决的办法是:我们不要用127.0.0.1的本地ip去登录dvwa原创 2020-12-03 11:27:26 · 6546 阅读 · 4 评论 -
存储型XSS(Stored)DVWA全等级绕过方法
dvwa_存储型XSS全等级演示一、low级别绕过前端限制,修改输入长度二、Medium级别三、High级别四、dvwa_impossible分析一、low级别打开dvwa靶场,将等级设置为low,选中XSS(Stored)这里有一个很明显的特征就是表单,遇到这种情况最好每个表单都输入内容,即XSS测试语句先查看源码(View Source):<?phpif( isset( $_POST[ 'btnSign' ] ) ) { // Get input $message =原创 2020-12-01 21:07:04 · 3709 阅读 · 5 评论 -
反射型XSS(Reflected)DVWA全等级绕过方法
本站所有文章均为原创,欢迎转载,请注明文章出处[https://blog.csdn.net/weixin_43847838/article/details/110358618](https://blog.csdn.net/weixin_43847838/article/details/110358618).。百度和各类采集站皆不可信,搜索请谨慎鉴别。技术类文章一般都有时效性,本人习惯不定期对自己的博文进行修正和更新,因此请访问出处以查看本文的最新版本。原创 2020-11-30 01:34:16 · 3942 阅读 · 2 评论 -
DVWA之SQL注入的步骤
SQL注入详解步骤及dvwa靶场演示,本站所有文章均为原创,欢迎转载,请注明文章出处:https://blog.csdn.net/weixin_43847838/article/details/109833310。百度和各类采集站皆不可信,搜索请谨慎鉴别。技术类文章一般都有时效性,本人习惯不定期对自己的博文进行修正和更新,因此请访问出处以查看本文的最新版本。原创 2020-11-23 22:58:14 · 6697 阅读 · 1 评论 -
DVWA命令注入(Command_Injection)出现乱码解决办法
DVWA命令注入(Command_Injection)出现乱码今天在做命令注入测试的时候,发现了这个乱码问题 通过查找资料,发现有一个dvwaPage.inc.php文件,修改277行,将UTF-8改为GBK或者GB2312即可。 文件位置在…/DVWA/dvwa/includes目录下。 我的文件路径:C:\phpStudy\PHPTutorial\WWW\原创 2020-12-23 20:07:31 · 2483 阅读 · 0 评论