前几天我们已经将DVWA靶场部署好了，这次我们将着手对这个模拟渗透靶场进行演练，这次只是初级的难度，为了是让各位对这些漏洞有一些初步的概念
实验环境：
DVWA
phpstudy
firefox浏览器
brup

1.先将phpstudy打开并且启动后用浏览器访问127.0.0.1/dvwa，进入登陆界面登陆，然后单击左边列表中的“DVWA Security”选项，在右边的下拉列表中选择“low”后单击submit按钮就能更改靶场难度




2.先介绍一下吧，这里左边从Brute Force到Xss(Stored)都是对应的漏洞靶场，它们分别是“暴力破解"、”命令执行“、“跨站请求伪造”、”文件包含“、”文件上传“、”不安全的验证码“、”sql注入“、”sql盲注“、”“、”跨站脚本攻击（DOM型）“、”跨站脚本攻击（反射型）“、”跨站脚本攻击（存储型）“，这些都是目前为止危害最大的已知漏洞。

暴力破解

（1）这里先分析一下，这里是一个登陆框，要输入用户名和密码才能登陆，因为所有网站的默认管理员的账户都叫admin，所以我们先用admin用户名进行实验，然后密码哪里我们用一个很“弱智”的密码——123，试一试，看看这个管理员是否是个安全盲：

（2）这里很明显，我们小瞧管理员了，鹅鹅鹅，这里报错的原因可能是因为我们输入的用户名有错或者密码有错，这样的话…我们直接上工具——brup：

（3）进行字典爆破

（4）查看长度，找到与众不同的那个，然后查看它的密码即可（因为外面知道了账户只需要爆破密码即可）：

（5）这里返回包未报错，所以密码正确


注：有可能我们的显示不一样，但是操作都是大同小异的，这样也是正确的

命令执行
命令执行的危害性不小于sql注入，因为它会使服务器直接执行攻击恶意指令或代码，所以这也是一款的危害性比较大的漏洞（top 10中有一个百年不下的地位）

---

后面的内容请敬请关注，小编放一个晚上的假，明日再写，goodb