DVWA靶场——通关(初级)

前几天我们已经将DVWA靶场部署好了,这次我们将着手对这个模拟渗透靶场进行演练,这次只是初级的难度,为了是让各位对这些漏洞有一些初步的概念
实验环境:
DVWA
phpstudy
firefox浏览器
brup

1.先将phpstudy打开并且启动后用浏览器访问127.0.0.1/dvwa,进入登陆界面登陆,然后单击左边列表中的“DVWA Security”选项,在右边的下拉列表中选择“low”后单击submit按钮就能更改靶场难度
DVWA靶场——通关(初级)
DVWA靶场——通关(初级)
DVWA靶场——通关(初级)
DVWA靶场——通关(初级)
2.先介绍一下吧,这里左边从Brute Force到Xss(Stored)都是对应的漏洞靶场,它们分别是“暴力破解"、”命令执行“、“跨站请求伪造”、”文件包含“、”文件上传“、”不安全的验证码“、”sql注入“、”sql盲注“、”“、”跨站脚本攻击(DOM型)“、”跨站脚本攻击(反射型)“、”跨站脚本攻击(存储型)“,这些都是目前为止危害最大的已知漏洞。

暴力破解
DVWA靶场——通关(初级)
(1)这里先分析一下,这里是一个登陆框,要输入用户名和密码才能登陆,因为所有网站的默认管理员的账户都叫admin,所以我们先用admin用户名进行实验,然后密码哪里我们用一个很“弱智”的密码——123,试一试,看看这个管理员是否是个安全盲:
DVWA靶场——通关(初级)
(2)这里很明显,我们小瞧管理员了,鹅鹅鹅,这里报错的原因可能是因为我们输入的用户名有错或者密码有错,这样的话…我们直接上工具——brup:
DVWA靶场——通关(初级)
(3)进行字典爆破
DVWA靶场——通关(初级)
DVWA靶场——通关(初级)

(4)查看长度,找到与众不同的那个,然后查看它的密码即可(因为外面知道了账户只需要爆破密码即可):
DVWA靶场——通关(初级)
(5)这里返回包未报错,所以密码正确
DVWA靶场——通关(初级)
DVWA靶场——通关(初级)
注:有可能我们的显示不一样,但是操作都是大同小异的,这样也是正确的

命令执行
命令执行的危害性不小于sql注入,因为它会使服务器直接执行攻击恶意指令或代码,所以这也是一款的危害性比较大的漏洞(top 10中有一个百年不下的地位)


后面的内容请敬请关注,小编放一个晚上的假,明日再写,goodb
上一篇:DVWA笔记:利用文件包含漏洞(低级)获取webshell


下一篇:DVWA靶机通关记-LOW