dvwa

余生不晚發表於2024-11-20

漏洞靶場之 DVWA

為什麼要攻擊網站？常見的網站漏洞有哪些?

SQL隱碼攻擊 XSS 檔案上傳反序列化檔案包含 CSRF 命令執行資訊洩露 XEE SSRF 未授權訪問
SQL隱碼攻擊

洩露資料庫，資料庫中可能有賬號密碼
命令執行

獲取目標機器命令許可權，執行非法命令，破壞或控制受害機器
檔案上傳

上傳後門病毒木馬到網站中，破壞網站

命令執行漏洞

cmd1|cmd2:無論cmd1是否執行成功，cmd2將被執行
cmd1;cmd2:無論cmd1是否執行成功，cmd2將被執行
cmd1&cmd2:無論cmd1是否執行成功，cmd2將被執行
cmd1||cmd2:僅在cmd1執行失敗，執行cmd2
cmd1&&cmd2:僅在cmd1執行成功，執行cmd2
常用cmd指令

whoami 檢視當前使用者名稱 ipconfig檢視網路卡 shutdown -s -t - 0關機

net user [username] [password] /add 增加一個使用者名稱為username密碼為password的新使用者

type [file_name] 檢視filename檔案內容
防禦命令執行漏洞

禁止輸入特殊字元|;&||&&,處理特殊符號

白盒測試

可以看到原始碼，檢視原始碼過濾機制

黑盒測試

一個個試，看不到原始碼

防禦impossible

透過演算法過濾掉不合格的輸入

相關文章

dvwa靶場搭建
2020-11-13
DVWA的安裝
2017-03-08
DVWA搭建（kali+Windows）
2020-10-24
Windows
DVWA靶場通關教程
2024-07-20
DVWA-Brute Force暴力破解
2020-11-14
kali環境下安裝dvwa
2020-12-27
Win10下安裝DVWA
2018-04-11
Win10
DVWA靶場實戰(七)——SQL Injection
2023-01-13
SQL
DVWA靶場學習（一）—— Brute Force
2024-06-07
DVWA-檔案包含學習筆記
2019-05-19
筆記
DVWA檔案包含全等級繞過方法
2020-12-13
DVWA靶場實戰(六)——Insecure CAPTCHA
2023-01-11
APT
dvwa-暴力破解（low-high）
2022-03-13
DVWA-SQL Injection（SQL隱碼攻擊）
2023-03-18
SQL
DVWA靶場實戰(九)——Weak Session IDS
2023-01-22
Session
DVWA中學習PHP常見漏洞及修復方法
2020-08-19
PHP
DVWA下載、安裝、使用（漏洞測試環境搭建）教程
2020-10-27
安全測試之 kali_liunx DVWA 實踐平臺安裝
2020-05-16
基於centOS的dvwa只能ping通127.0.0.1的問題
2020-12-04
CentOS127.0.0.1
DVWA學習記錄系列（四）SCRF 跨站偽造請求模組
2020-10-17
CRF
PJzhang:centos7上LNMP方式安裝dvwa漏洞測試環境
2019-05-25
CentOSLNMP
DVWA靶機通關係列--1.Brute Force（暴力破解）（解題思路+審計分析）
2020-11-29
網安靶場環境_DVWA-讀取檔案報錯File not found! Cookie中有兩個security鍵
2023-12-10
Cookie