DVWA靶场和漏洞们的攻防

已于 2024-09-13 11:20:00 修改
阅读量330 收藏 3
点赞数 4
文章标签: web安全 安全
于 2024-09-09 17:32:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ytrlhj/article/details/142042328
版权

命令执行:获取执行命令的权限
sql注入:破坏数据库
文件上传:上传木马病毒等

DVWA靶场搭建

安装phpstudy,在小皮面板-好用、安全、稳定的Linux服务器面板!小皮Linux面板,先进技术架构,集安全、高效、功能于一体,告别命令行,只需要动动鼠标,服务器运维化繁为简!icon-default.png?t=O83Ahttps://www.xp.cn/下载phpstudy,完成后在https://codeload.github.com/digininja/DVWA/zip/refs/heads/master下载DVWA,

解压到WWW目录下,然后找到config目录,

修改文件后缀名使其变成php源文件,用记事本打开修改用户名和密码为root,保存

启动phpstudy,搜索本地回环地址127.0.0.1,出现以下创建成功的画面

然后输入127.0.0.1/DVWA,点击最下方的create用于创建数据库

命令执行漏洞及防御:

首先调整安全级别为low(其他类似)提交,打开command injection

$target = $_REQUEST[ 'ip' ];
$cmd = shell_exec( 'ping  ' . $target );
这两句是关键句,意思是将ip地址赋给target,然后执行对target的ping,攻击时可以寻找这里的漏洞,在输入的ip地址后加操作符(如下图)

所以一般的防御就是ban掉这些特殊符号(如下图)
impossible的防御如下图,正如其名impossible

SQL注入漏洞及防御

1.首先是检测,提交如下sql语句:

1'&1=1#正确则有输出,1'&1=2#错误则没有输出

若符合规律则有sql语句漏洞

$query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"

2.然后判断数据库的内容(行列数),查询信息

3.防御的方式

ytrlhj
关注
web渗透必玩的靶场——DVWA靶场 1(centos8.2+phpstudy安装环境)
GZY0601的博客
07-09 3505
学习web渗透dvwa靶场是必玩的,虽然题目不多,但是对入门的小白还算是比较友好的,本章我会带大家,从环境的搭建和每一关玩法的解析。可能会写的不清楚,也希望大家谅解。我靶场环境使用的centos8.2,可能后期还会再加入其他的一些靶场,做一台web渗透环境机。为了方便省事我这里使用phpstudy搭建网站。 第一步:安装phpstudy 虚拟机连上外网执行以下命令即可 安装完成后我们会得到一个登录的地址、账号和密码 我们使用浏览器进行访问,输入账号、密码,验证码即可登录到后台。 登录成功后,我们先去改
搭建DVWA渗透测试靶场
QQ670663的博客
01-20 6253
一、虚拟机的介绍及安装 1、双击运行安装文件,然后一直点下一步 2、我接受 3、勾选增强型····,然后继续下一步 4、去掉更新及加入体验计划,下一步 5、完成,后面填写激活码 二、Windows镜像操作系统安装 1、创建的虚拟机,使用典型 2、安装程序光盘映像文件 3、整体流程:新建虚拟机,选择典型—>选择安装程序光盘映像文件—>确定安装位置—>40G+拆分多个文件—>完成 仅主机模式:本机与新安装的虚拟机互通,但是虚拟机与其他的...
DVWA详细安装教程
qq_70434663的博客
03-10 1645
解决方法:在自己的phpstudy安装目录中找到如下图的php.ini文件,然后修改php.ini中的allow_url_include为On然后保存,重启phpstudy,错误就会得到解决 (可以使用Ctrl+F进行查找更方便)之后找到在DVWA-master文件夹下的config文件夹,打开config.inc.php.dist文件进行修改,修改好后保存在把文件的后缀“.dist”删除,最后得到的文件名为config.inc.php。下载和安装很简单的,但是要注意安装的文件夹不得有中文否则要报错。
DVWA的安装教程和通关详解
路baby的博客
11-27 3万+
DVWA是一款基于PHP和mysql开发的web靶场练习平台,集成了常见的Web漏洞。有详细的DVWA的安装教程,和通关详解
DVWA靶机安装教程
weixin_46556293的博客
07-29 9318
DVWA安装教程
DVWA下载、安装、使用(漏洞测试环境搭建)教程
热门推荐
星如雨落
10-27 5万+
DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 一共有十个模块: 暴力(破解)、命令行注入、跨站请求伪造、文件包含、文件上传、不安全的验证码、SQL注入、SQL盲注、弱会话ID、XSS漏洞(DOM型跨站脚本、反射型跨站脚本、 存储型跨站脚本) 环境搭建 由于是本地搭建真实web漏洞网站,我就以Windows
【网络安全学习】渗透测试篇01-DVWA靶场环境搭建教程
JackFCH的博客
10-08 5563
网上不乏有许多类似的教程,但经过笔者检验后发现,多数的文章内容相近且不详细。使笔者在进行环境搭建的过程中着实走了不少弯路。就连DVWA的下载链接也早已不可用,因此为帮助学习者节省时间,笔者重新归纳了整套流程并将其发布于此。一、介绍及注意事项DVWA(Damn Vulnerable Web Application)是一款PHP/MySQL的网络应用程序,其设计目的主要是为了帮助安全专家们在合法的环境下测试他们的技能和工具,或是帮助学生和开发者们更好地理解和学习网络应用程序的安全知识,比如Web渗透。
DVWA-安全测试靶场.zip
02-19
DVWA的目的是 实践中一些最常见的web漏洞 , 不同程度的困难 ,用一个简单直观的界面。 一般的用法说明 它取决于用户如何DVWA方法。 要么通过每个模块工作在一个固定的水平,或选择任何模块和工作达到最高水平...
DVWA-master.zip_DVWA_php_漏洞_靶场
09-24
php攻防练习靶场,多种漏洞组合,练习代码审计,避免开发出现漏洞
靶场合集,集合了upload-labs、sqli-labs、dvwa、小蜜蜂、皮卡丘5个靶场.zip
01-14
其次,靶场是渗透测试和漏洞攻防演练的理想场所。在靶场中,安全专业人员可以模拟攻击者的行为,发现系统和应用的漏洞,并进行渗透测试,从而及时修复和改进防御机制。同时,这也为防御方提供了锻炼机会,通过对抗...
dvwa下载及安装-图文详解+phpStudy配置
dzqxwzoe的博客
02-19 3664
DVWA(Damn Vulnerable Web Application)一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用平台,旨在为网络安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。DVWA还可以手动调整靶机源码的安全级别,分别为Low,Medium,High,Impossible,级别越高,安全防护越严格,渗透难度越大。1.暴力破解(Brute Force)利用密码字典,使用穷举法猜解出用户口令。
DVWA使用教程(Brute Force)(一)
ai_64的博客
06-09 2万+
DVWA使用教程(Brute Force)(一) DVWA是一个用来练习Web渗透的PHP应用。共有十个模块,分别是 1.Brute Force(爆破) 2.Command Injection(命令注入) 3.CSRF(跨站请求伪造) 4.File Inclusion(文件包含) 5.File Uplod(文件上传) 6.Insecure CAPTCHA(不安全的验证码) 7.SQL...
DVWA安装教程(超级详细) 小白开门
最新发布
weixin_63938129的博客
04-01 1711
DVWA(Damn Vulnerable Web Application)一个用来进行安全脆弱性鉴定的PHP/MySQL Web 应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。
dvwa安装和使用指南
weixin_33779515的博客
01-26 2803
---------------------------------------说明本手册作为教学的一部分供大家参考。具体的关于web漏洞的学习大家可以参考《web***测试-常见漏洞解析课程》http://edu.51cto.com/course/course_id-5281.html ---------------------------------------1....
DVWA安装教程(懂你的不懂·详细)
weixin_51112758的博客
01-10 4万+
新的笔记来啦
DVWA和phpstudy安装教程(详解)
qq_61861243的博客
03-31 868
【代码】DVWA的安装教程(详解)
DVWA 的安装教程
zzxl212333的博客
03-14 542
一,环境搭建。
DVWA环境搭建教程-手把手最详细介绍
hzy_wsq的博客
08-14 2万+
DVWA环境搭建教程-手把手最详细介绍安装phpstudy安装DVWA 安装环境:win7 安装phpstudy 1.下载安装phpstudy 百度搜索phpstudy,在官网上下载 链接: https://www.xp.cn/. 我下载的是phpstudy2018版 下载之后选择安装地址,按照默认选项安装即可,安装的时候会自动提示你是否有vc库,如果没有官网上可以直接下载。因为我的是正常的所以没有尝试安装vc库。 下载完成之后开启服务,点击下图启动。 访问本地:http:127.0.0.1看是否能正常
dvwa靶场漏洞讲解
09-13
DVWA(Damn Vulnerable Web Application)是一个用于学习和练习网络安全漏洞测试平台。它模拟了各种常见的Web应用程序漏洞,供安全研究人员、渗透测试人员和开发人员使用。 下面是一些DVWA中常见漏洞的简要讲解: 1. SQL注入(SQL Injection):通过构造恶意的SQL查询语句,攻击者可以绕过应用程序的输入验证,获取或修改数据库中的数据。 2. XSS(Cross-Site Scripting):攻击者在Web应用程序中注入恶意脚本,使其在用户浏览器中执行,从而窃取用户信息或进行其他恶意操作。 3. CSRF(Cross-Site Request Forgery):攻击者利用用户已经通过身份验证的会话发起伪造的请求,以执行未经授权的操作。 4. 文件包含漏洞(File Inclusion):攻击者通过操纵应用程序以包含恶意文件,从而执行任意代码或访问敏感文件。 5. 文件上传漏洞(File Upload):攻击者绕过文件上传的安全机制,上传恶意文件,可能导致远程代码执行或其他不良后果。 这些只是DVWA中的一部分漏洞,通过在DVWA平台上进行实践和研究,您可以深入了解这些漏洞的工作原理,并学习如何防范和修复它们。记住,在使用DVWA进行实践时,请确保只在受控环境中使用,并遵循合法和道德的行为准则。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值