DVWA靶场基础题

1.点击创建数据库提示 “Could not connect to the MySQL service.Please check the config file.”
解决方法： 找到DVWA\config\ 目录下的config.inc.php 文件；
找到 ： ${}_{D}VWA[‘d{b}_{p}assword’]=‘p@ssw0rd’;将其改为：$_DVWA[ ‘db_password’ ] = ‘root’;
这里的$_DVWA[ ‘db_password’ ] 设置的是MySQL root用户的密码，把密码改为root
之后登陆
成功连接数据库
2. brute force :暴力破解，是指黑客利用密码字典，使用穷举法猜解出用户口令，是现在最为广泛使用的攻击手法之一。
（1）打开burpsuite抓靶场的包,用户名为admin 密码随便输，借助火狐的插件进行抓包如果抓取登录的请求包后并且用户名和密码都是明文的话，便可进行爆破。
（2 ）将包发送到Intruder，选中Payloads，载入字典，点击Start attack进行爆破
(3) length相对较大的即为密码 爆破成功 2.command injection：命令注入，是指在某些需要输入数据的位置，还构造了恶意的代码破坏了原先的语句结构。而系统缺少有效的过滤，最终达到破坏数据、信息泄露甚至掌控电脑的目的。
（1）命令连接符：&&:前一个指令执行成功，后面的指令才继续执行，就像进行与操作一样
||:前一个命令执行失败，后面的才继续执行，类似于或操作
&：直接连接多个命令
|：管道符，将前一个命令的输出作为下一个命令的输入
;：直接连接多个命令
3.csrf:Csrf全称为Cross-Site Request Forgery中文解释为跨站请求伪造击。
(1) 输入新密码 （2）点击change并抓此包，发送到repeater
( 3)把密码改为自己的密码

（4）重新登陆即可发现密码已被修改
4.File Upload:
上传文件只能上传 JPEG or PNG格式，要上传PHP需要用brupsuite更改文件的格式，即将jpeg改为php即可

5. File Inclusion：文件上传后即可通过网址访问文件