安装部署phpStudy+DVWA漏洞演练平台
安装phpstudy,安装完成后启动phpStudy主界面,当看到 Apache 和 MySQL 文字后面红色的圆点变成绿色时,表示服务启动成功。如下图所示:
将DWVA压缩包解压到phpStudy的WWW文件夹中。
配置DVWA链接数据库,打开config文件夹,打开config.inc.php,需要把db_password 修改成root,保存(因为前面刚安装好的集成环境默认的MYSQL用户名和密码为root root)。
访问http://本机IP/DVWA/index.php,点击创建/重置数据库,点击创建数据库跳转到DVWA的登录界面,DVWA的默认用户名是"admin",密码“password”登录。输入用户名密码登录,登陆成功。
在DVWA Security中设置难度为low。
密码登录绕过
1、打开Brute Force界面,测试登陆框是否存在注入,提交敏感字符测试程序是否报错。在登录界面上输入用户名admin’(使用敏感字符‘)。
2、仔细观察登录系统时地址栏中的sql语句,在用户名密码提交界面上通过注