DVWA靶场基础题

1.点击创建数据库提示 “Could not connect to the MySQL service.Please check the config file.”
解决方法: 找到DVWA\config\ 目录下的config.inc.php 文件;
找到 : D V W A [ ‘ d b p a s s w o r d ’ ] = ‘ p @ s s w 0 r d ’ ; 将 其 改 为 : _DVWA[ ‘db_password’ ] = ‘p@ssw0rd’; 将其改为: DVWA[dbpassword]=p@ssw0rd;_DVWA[ ‘db_password’ ] = ‘root’;
这里的$_DVWA[ ‘db_password’ ] 设置的是MySQL root用户的密码,把密码改为root
之后登陆
DVWA靶场基础题_第1张图片成功连接数据库
2. brute force :暴力破解,是指黑客利用密码字典,使用穷举法猜解出用户口令,是现在最为广泛使用的攻击手法之一。
(1)打开burpsuite抓靶场的包,用户名为admin 密码随便输,借助火狐的插件进行抓包如果抓取登录的请求包后并且用户名和密码都是明文的话,便可进行爆破。
DVWA靶场基础题_第2张图片DVWA靶场基础题_第3张图片 (2 )将包发送到Intruder,选中Payloads,载入字典,点击Start attack进行爆破
(3) length相对较大的即为密码 爆破成功 DVWA靶场基础题_第4张图片2.command injection:命令注入,是指在某些需要输入数据的位置,还构造了恶意的代码破坏了原先的语句结构。而系统缺少有效的过滤,最终达到破坏数据、信息泄露甚至掌控电脑的目的。
(1)命令连接符:&&:前一个指令执行成功,后面的指令才继续执行,就像进行与操作一样
||:前一个命令执行失败,后面的才继续执行,类似于或操作
&:直接连接多个命令
|:管道符,将前一个命令的输出作为下一个命令的输入
;:直接连接多个命令
3.csrf:Csrf全称为Cross-Site Request Forgery中文解释为跨站请求伪造击。
(1) 输入新密码 DVWA靶场基础题_第5张图片 (2)点击change并抓此包,发送到repeater
DVWA靶场基础题_第6张图片 ( 3)把密码改为自己的密码
在这里插入图片描述
(4)重新登陆即可发现密码已被修改
DVWA靶场基础题_第7张图片4.File Upload:
DVWA靶场基础题_第8张图片上传文件只能上传 JPEG or PNG格式,要上传PHP需要用brupsuite更改文件的格式,即将jpeg改为php即可
DVWA靶场基础题_第9张图片
5. File Inclusion:文件上传后即可通过网址访问文件
DVWA靶场基础题_第10张图片

你可能感兴趣的:(DVWA靶场基础题)