Web漏洞学习(信息安全实训学习)
1 易受攻击的网络部署
(1)运行phpstudy服务器,确保阿帕奇和mysql正常启动,截取两个点均为圆点的界面图
- 注意:如果出现端口被占用的情况,点击其他选项菜单,更改端口设置中的端口号
(2)修改学习练习的网站安全级别为LOW,截取LOW图
2 密码登录绕过的学习
(1)打开Brute Force界面,测试登陆框是否存在注入,提交敏感字符测试程序是否报错。在登录界面上输入一些东西’ 1(必须含有敏感字符‘)。
(2)仔细观察登录系统时地址栏中的sql语句和各种报错提示,在用户名密码提交界面上通过注入逻辑语句使登录判断失效,进入受保护页面。
3 命令注入
(1) 打开Command Injection界面,在该界面提供一个命令行执行环境,输入ip地址返回ping命令的结果。
(2)window和linux系统都可以用&&在同一行附加执行其他命令,尝试注入附加命令使目标主机(延时)关机。(代码为:ip地址 shutdown -s -t 时间)
- 在cmd输入shutdown -a 可以取消注销。
4 跨站请求伪造
(1)打开CSRF界面,可在New password和Confirm new password处正常修改登录口令。
(2)构造一个链接: (注意IP地址改为网站实际地址) 利用在线短链接生成器伪造该链接:
(3)诱骗其它已登录该网站的用户点击该链接,通过伪造身份提交密码修改,直接跳转到修改密码成功的页面,成功把密码修改为123
5 文件上传
(1)建立一个PHP文件,内容为:。打开File Upload界面,将PHP一句话木马上传。
(2)得到木马在服务器上的路径。打开中国菜刀,配置信息添加木马路径及密码。
(3)双击网址进入文件管理。(注:这里可以进行文件管理,数据库管理,虚拟终端或运行自写脚本)
(信息安全实训课系列所有内容及案例仅用于密码学研究及信息安全评估仅供学习使用,严禁用于非法用途,如有违反本人不承担任何责任)