![](https://img-blog.csdnimg.cn/20201014180756930.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
DVWA
「已注销」
公众号 猪猪谈安全 获取大量学习资源!
展开
-
DVWA---命令注入全等级源码分析
什么是命令注入 即 Command Injection。是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。在Web应用中,有时候会用到一些命令执行的函数,如phpsystem、exec、shell_exec等,当对用户输入的命令没有进行限制或者过滤不严导致用户可以执行任意命令时,就会造成命令执行漏洞。 注入原理 黑客将构造好的命令发送给web服务器,服务器根据拼接命令执行注入的命令,最后讲结果显示给黑客。 DVWA演练 Low等级 在讲命令注入之前不得不讲讲DOS下一些原创 2020-06-28 20:04:47 · 689 阅读 · 0 评论 -
DVWA---暴力破解模块全等级源码分析
1.简介 什么叫暴力破解,暴力破解又叫枚举法。在进行归纳推理时,如果逐个考察了某类事件的所有可能情况,因而得出一般结论,那么这结论是可靠的,这种归纳方法叫做枚举法。通俗的讲就是一个一个去试,但不是人手动的去试,而是利用工具。 2.工具 用Burpsiute的intruder模块进行暴力破解 Intruder的配置参数大家可以参考 3.DVWA靶场练习 ①low等级 查看low等级源代码 没有做任何放爆破措施,而且get过来的参数没有做任何过滤直接拼接到查询语句中则此处还存在sql注入中万原创 2020-06-27 16:37:51 · 1384 阅读 · 0 评论