0
点赞
收藏
分享

微信扫一扫

渗透测试-靶场 dvwa && sqli-labs

伽马星系 2022-01-15 阅读 89

在这里插入图片描述





#1 介绍

  • Web应用程序(DVWA)
    是一个很容易受到攻击的PHP / MySQL Web应用程序。
    其主要目标是帮助安全专业人员在法律环境中测试他们的技能和工具,
    是一个web安全学习神器。

DVWA提供以下四种安全级别:Low、Medium、High、Impossible。


  • SQLi-Labs是一个专业的SQL注入练习平台,适用于GET和POST场景,包含了以下注入:

1、基于错误的注入(Union Select)

字符串

整数

2、基于误差的注入(双查询注入)

3、盲注入(01、基于Boolian数据类型注入, 02、基于时间注入)

4、更新查询注入(update )

5、插入查询注入(insert )

6、Header头部注入

	01、基于Referer注入, 
	02、基于UserAgent注入,
	03、基于cookie注入

7、二阶注入,也可叫二次注入

8、绕过WAF

绕过黑名单\过滤器\剥离\注释剥离 OR&AND 剥离空格和注释剥离 UNION和SELECT

隐瞒不匹配

9、绕过addslashes()函数

10、绕过mysql_real_escape_string()函数(在特殊条件下)

11、堆叠注入(堆查询注入)

12、二级通道提取




安装部署

  • DVWA安装

在config目录config.inc.php是修改数据库的配置文件在这里插入图片描述
在这里插入图片描述
访问http://本机电脑ip/DVWA目录/setup.php,点击创建/重置数据库。

PHP function allow_url_include

在这里插入图片描述

reCAPTCHA key: Missing

 Site key: 
6LdJJlUUAAAAAH1Q6cTpZRQ2Ah8VpyzhnffD0mBb

Secret key: 
6LdJJlUUAAAAAM2a3HrgzLczqdYp4g05EqDs-W4K

把key填上就行了

$_DVWA[ 'recaptcha_public_key' ] = '6LdJJlUUAAAAAH1Q6cTpZRQ2Ah8VpyzhnffD0mBb'; 
$_DVWA[ 'recaptcha_private_key' ] = '6LdJJlUUAAAAAM2a3HrgzLczqdYp4g05EqDs-W4K'; 

在这里插入图片描述

在这里插入图片描述

点击创建数据库会跳转到DVWA的登录界面,DVWA的默认用户名是"admin",密码“password”登录。
在这里插入图片描述
点击确认出现DVWA的欢迎界面即DVWA部署成功。
admin password

我们在测试的过程中,发现部分Web返回消息会出现乱码,

进入\DVWA-1.9\dvwa\includes
打开DVWA目录includes文件夹中dvwaPage.inc.php,
将dvwaPage.inc.php中charset=utf-8全部更改为charset=gb2312

然后保存。
在这里插入图片描述
在这里插入图片描述


  • sqli-lab 安装部署
    在这里插入图片描述
    在 sqli-labs/sql-connections/db-creds.inc设置数据库当前的用户名和密码。
    在这里插入图片描述
    访问 [对应的ip]/sqli-labs-master 点击setup/reset up database for labs完成数据库创建。在这里插入图片描述
    在这里插入图片描述
    ** 注意 php版本问题





sqli-Labs 靶场 演示

在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述
在这里插入图片描述在这里插入图片描述在这里插入图片描述
在这里插入图片描述在这里插入图片描述 在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述


在这里插入图片描述
在这里插入图片描述
在这里插入图片描述


dvwa

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述在这里插入图片描述在这里插入图片描述
在这里插入图片描述在这里插入图片描述
在这里插入图片描述
在这里插入图片描述在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述在这里插入图片描述
在这里插入图片描述
在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述
在这里插入图片描述在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述在这里插入图片描述在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

  • 打开 allow_url_include
    在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述
    在这里插入图片描述在这里插入图片描述在这里插入图片描述
    在这里插入图片描述在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

沙盒,靶场

http://127.0.0.1/dvwa/login.php

​ admin password

http://127.0.0.1/labs/

举报

相关推荐

0 条评论