0
点赞
收藏
分享

微信扫一扫

信息安全实训课6

ZMXQQ233 2022-04-23 阅读 83
网络安全

Web漏洞利用

1 易受攻击的网络部署

(1)运行phpstudy服务器,确保阿帕奇和mysql正常启动,截取两个点均为圆点的界面图
在这里插入图片描述

  • 如果出现端口被占用的情况,点击其他选项菜单,更改端口设置中的端口号
    (2)将DVWA解压到phpstudy的www文件夹下,在浏览器中打开DVWA网站,截登录界面图
    在这里插入图片描述

(3)修改DVWA网站安全级别为LOW,截取LOW图
在这里插入图片描述

2 密码登录绕过

(1)打开Brute Force界面,测试登陆框是否存在注入,提交敏感字符测试程序是否报错。在登录界面上输入一些东西’ 1(必须含有敏感字符‘)。
在这里插入图片描述
(2)仔细观察登录系统时地址栏中的sql语句和各种报错提示,在用户名密码提交界面上通过注入逻辑语句使登录判断失效,进入受保护页面。
在这里插入图片描述

3 命令注入

(1) 打开Command Injection界面,在该界面提供一个命令行执行环境,输入ip地址返回ping命令的结果。
(2)window和linux系统都可以用&&在同一行附加执行其他命令,尝试注入附加命令使目标主机(延时)关机。
在这里插入图片描述

  • 在cmd输入shutdown -a 可以取消注销。

4 跨站请求伪造

(1)打开CSRF界面,可在New password和Confirm new password处正常修改登录口令。
在这里插入图片描述
(2)构造一个链接: http://IP/DVWA/vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change# (注意IP地址改为网站实际地址) 利用在线短链接生成器(https://www.985.so/)伪造该链接:
在这里插入图片描述

(3)诱骗其它已登录该网站的用户点击该链接,通过伪造身份提交密码修改,直接跳转到修改密码成功的页面,成功把密码修改为123
在这里插入图片描述

5 文件上传

(1)建立一个PHP文件,内容为:。打开File Upload界面,将PHP一句话木马上传。
在这里插入图片描述
(2)得到木马在服务器上的路径。打开中国菜刀,配置信息添加木马路径及密码。
在这里插入图片描述
(3)双击网址进入文件管理。(注:这里可以进行文件管理,数据库管理,虚拟终端或运行自写脚本)
在这里插入图片描述

举报

相关推荐

信息安全实训课4

信息安全实训Day6

金融信息安全实训-03

金融信息安全实训3

信息安全实训Day1

金融信息安全实训 课堂笔记5

[记录]实训课总结2

0 条评论