查看靶机DVWA的默认密码？

 

原文地址http://blog.51cto.com/cybersec/1429397

下载了OWASP BWA（Broken Web Application）的虚拟机，先从DVWA开始练习，无奈第一步登录界面的Username和Password怎么都不是网上所说的admin和password，甚至DVWA的安装说明文档也是错误地给的admin和password。经过一番周折才发现登录界面的Password已经改成了admin，备忘一下。

1. 到BWA靶机中的dvwa的web目录/owaspbwa/owaspbwa-svn/var/www/dvwa下查看login.php，发现登录时php计算密码的md5值，并后台连接mysql数据库。

2. 查看/owaspbwa/owaspbwa-svn/var/www/dvwa/config/config.inc.php配置文件，得知连接mysql的用户名、数据库名及口令均为dvwa

3. 进入mysql数据库：mysql -u dvwa -p。输入dvwa后，连接上mysql，在mysql提示符下输入

   use dvwa;

   show tables; 看到有users表，接着

   select * from users; 可以看到有名为admin的用户，其password为21232f297a57a5a743894a0e4a801fc

   ---

   按照上面操作得到我的dvwa的密码 

得出的密码，很复杂 。我也不懂谁改了我的密码，之前都是admin，admin登录的，如果有知道的望告知