DVWA通关秘籍

博主： literature
发布时间：2020 年 06 月 21 日
431 次浏览
关闭评论
4748字数
分类：主机教程

DVWA是一款基于PHP和mysql开发的web靶场练习平台，集成了常见的web漏洞如sql注入,xss，密码破解等常见漏洞。本教程将以DVWA为例，演示常见的web漏洞的利用和攻击。

下载安装

点击下面的连接开始下载，并配置config.inc.php文件。

$_DVWA[ 'db_server' ]   = '127.0.0.1';
$_DVWA[ 'db_database' ] = 'dvwa';
$_DVWA[ 'db_user' ]     = 'dvwa';
$_DVWA[ 'db_password' ] = '123456';

更改为你的数据库账号信息。

登录创建数据库

访问http://127.0.0.1输入账号和密码均为admin点击Create / Reset Database创建数据库，当数据库创建完成后，会自动登出，用户名：admin密码：password重新登录。

配置完成后的界面

这样dvwa的安装和配置就完成了。

在dvwa security选项中，可以调整dvwa的难易程度，

Brute Force（low）

Brute Force即为暴力破解，通过枚举获取管理员的账号和密码,在实际的操作中，一般用来破解后台管理系统的登录。

准备

user.txt pass.txt(用户字典和密码字典)
神器burp
在burp中抓包
打开浏览器，在该模块任意输入账号和密码，在burp中抓包。

抓到包后，右键send ro intruder

在intruder的positions选择中，先点击clear$清除所有的变量。
然后分别给username和password这两个字段后面的内容添加add$

并将attack type的值设置为cluster bomb
在payloads选择中分别给payload 1和payload 2设置字典路劲。

然后点击上方的start attack

如上，开始枚举破解。
通过length的长度判决即可。

通过上面的破解，我们发现length的长度存在不一样，大的为破解成功的账号和密码。
Brute Force（medium）
中等等级的暴力破解和低等级的相同，只是低等级的暴力破解可以进行sql注入，而中等级的把其中的字符串给过滤掉了，但是操作相同。
需要注意的是中级的暴力破解相对来说较慢是因为有个sleep函数，在破解失败后会使程序停止运行两秒。
Brute Force（higt）
高等级的暴力破解和低等级、中等等级的暴力破解不相同，它增加了一个user_token参数，所以增加了爆破难度，但是依然可以破解

通过和low的对比，多了一个token参数。
将抓到的包发送到intrude，选择攻击模式为pitchfock，并且给要破解的项带上美元符号

在options选项中，找到grep-extact

找到Redirections模块设置允许重定向，选择always

设置密码本，点击payload，选择第一项的密码本与低等级的相同，第二项的时候选择Recursive grep 并且把之前得到的token值粘贴到下方的方框中。

破解效果
命令注入 Command Injection
命令注入（Command Injection），对一些函数的参数没有做过滤或过滤不严导致的，可以执行系统或者应用指令（CMD命令或者命令）的一种注入攻击手段。PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一。
命令连接符
command1 && command2
&&表示先执行command1，执行成功后执行command 2，否则不执行command 2
command1 & command2
$表示先执行command 1，不管是否成功，都会执行command 2
command1 || command2
||表示先执行command1，执行失败后，执行command2
low
我们先选输入一个ip地址，发现是对ip地址的ping功能
解决乱码问题
解决此问题的方法：在DVWA-master\dvwa\includes目录下找到dvwaPage.inc.php文件中所有的”charset=utf-8”，修改”charset=gb2312”，即可。
利用
```
192.168.0.1 && net user
```
Medium级别
服务端代码解读
```
 '', 

      ';'  => '', 

  ); 

  // Remove any of the charactars in the array (blacklist). 

  $target = str_replace( array_keys( $substitutions ), $substitutions, $target ); 

  // Determine OS and execute the ping command. 

  if( stristr( php_uname( 's' ), 'Windows NT' ) ) { 

      // Windows 

      $cmd = shell_exec( 'ping  ' . $target ); 

  } 

  else { 

      // *nix 

      $cmd = shell_exec( 'ping  -c 4 ' . $target ); 

  } 

  // Feedback for the end user 

  echo "{$cmd}"; 

} 

?>
```
可以看到，相比Low级别的代码，服务器端对ip参数做了一定过滤，即把”&&” 、”;”删除，本质上采用的是黑名单机制，因此依旧存在安全问题。

漏洞利用

127.0.0.1 & ipconfig

High

代码解读

 '', 

        ';'  => '', 

        '|  ' => '', 

        '-'  => '', 

        '$'  => '', 

        '('  => '', 

        ')'  => '', 

        '`'  => '', 

        '||' => '', 

    ); 

    // Remove any of the charactars in the array (blacklist). 

    $target = str_replace( array_keys( $substitutions ), $substitutions, $target ); 

    // Determine OS and execute the ping command. 

    if( stristr( php_uname( 's' ), 'Windows NT' ) ) { 

        // Windows 

        $cmd = shell_exec( 'ping  ' . $target ); 

    } 

    else { 

        // *nix 

        $cmd = shell_exec( 'ping  -c 4 ' . $target ); 

    } 

    // Feedback for the end user 

    echo "{$cmd}"; 

} 

?>

相比Medium级别的代码，High级别的代码进一步完善了黑名单，但由于黑名单机制的局限性，我们依然可以绕过。
漏洞利用

黑名单看似过滤了所有的非法字符，但仔细观察到是把| （注意这里|后有一个空格）替换为空字符，于是 |成了“漏网之鱼”。

127.0.0.1|dir

跨站请求(csrf)

CSRF，全称Cross-site request forgery，翻译过来就是跨站请求伪造，是指利用受害者尚未失效的身份认证信息（cookie、会话等），诱骗其点击恶意链接或者访问包含攻击代码的页面，在受害人不知情的情况下以受害者的身份向（身份认证信息所对应的）服务器发送请求，从而完成非法操作（如转账、改密等）。

low级别

我们先对其抓包

也就是说，当我们访问http://127.0.0.1/vulnerabilities/csrf/?password_new=888888&password_conf=888888&Change=Change我们的密码就会改变，我们可以伪造这条链接，发送给受害者，在不知不觉中对方的密码就会被修改。

Medium

Medium级别的代码检查了保留变量 HTTP_REFERER（http包头的Referer参数的值，表示来源地址）中是否包含SERVER_NAME（http包头的Host参数，及要访问的主机名，这里是192.168.153.130），希望通过这种机制抵御CSRF攻击。
漏洞利用
过滤规则是http包头的Referer参数的值中必须包含主机名（这里是192.168.153.130）
我们可以将攻击页面命名为192.168.153.130.html（页面被放置在攻击者的服务器里，这里是10.4.253.2）就可以绕过了

hig

High级别的反CSRF机制，关键是要获取token，要利用受害者的cookie去修改密码的页面获取关键的token。
试着去构造一个攻击页面，将其放置在攻击者的服务器，引诱受害者访问，从而完成CSRF攻击。

File Inclusion(文件包含)

File Inclusion，意思是文件包含（漏洞），是指当服务器开启allow_url_include选项时，就可以通过php的某些特性函数（include()，require()和include_once()，require_once()）利用url去动态包含文件，此时如果没有对文件来源进行严格审查，就会导致任意文件读取或者任意命令执行。文件包含漏洞分为本地文件包含漏洞与远程文件包含漏洞，远程文件包含漏洞是因为开启了php配置中的allow_url_fopen选项（选项开启之后，服务器允许包含一个远程的文件）。

low

我们先点击file1.php 效果如下：

在bur中对其抓包

读取任意文件测试，我们在D盘新建一个txt
构造下面命令：
读取d盘下的bbskali.txt文件
http://192.168.123.129/vulnerabilities/fi/?page=D:\bbskali.txt

访问远程文件
http://192.168.123.129/vulnerabilities/fi/?page=http://192.168.123.129/22.php

这样便完成了文件包含攻击。

Medium

Medium级别的代码增加了str_replace函数，对page参数进行了一定的处理，将”http:// ”、”https://”、 ” ../”、”..\”替换为空字符，即删除。但是对相对路劲的限制没多大。
http://192.168.123.129/vulnerabilities/fi/?page=hthttp://tp://192.168.123.129/22.php
当然，上面的方法比较麻烦的话，我们可以尝试将url进行编码。这样便躲过了规则的限制。

High

High级别的代码规定只能包含file开头的文件，看似安全，但依然可以利用file协议绕过防护策略。

文件上传(File Upload)

利用文件上传，我们可以上传我们的一句话木马，很方便的会获得系统shell

low

我们建立一个php文件，浏览后直接上传成功。

medium

如果我们直接上传，会提示如下Your image was not uploaded. We can only accept JPEG or PNG images.可以看到，对上传的文件做出了要求，必须是jpg和png
解决方法
抓包修改文件类型即可

如下，成功上传。

还有一种方法就是将php的后缀改成jpg，然后在burp中将其重新改回php即可。

high

要求上传的文件类型必须为：”.jpg”、”.jpeg” 、”*.png”之一，同时限制了文件的长度。
所以，一种简单的方法就是，合成图片木马。但是这种方法受到php环境的限制，有时不能成功解析php图片木马。
最佳方案
图片木马配合命令注入
我们先做一个图片木马

GIF98

然后在命令注入模块中，执行下面命令

127.0.0.1 & copy D:\phpstudy_pro\WWW\hackable\uploads\22.jpeg D:\phpstudy_pro\WWW\hackable\uploads\aa.php

成功将图片转变为php

SQL Injection

low

首先我们对其进行抓包

废话不说，神器sqlmap走一波

sqlmap -u "http://192.168.123.129//vulnerabilities/sqli/?id=1&Submit=Submit" --dbs

提示302跳转到了登录页面

所以，我们要在命令中加入cookie保存会话的在线
在burp抓到的包里面，我们复制PHPSESSID=ff4rv0j6rkgv9fnqlvfmhch8bh; security=low放到sqlmap即可。
所以，最终的命令为：

sqlmap -u "http://192.168.123.129//vulnerabilities/sqli/?id=1&Submit=Submit" --cookie="PHPSESSID=ff4rv0j6rkgv9fnqlvfmhch8bh; security=low" --dbs

成功爆出数据库

其他的后续操作我这里就不在啰嗦了。

medium

同样的方法，还时对其抓包
通过抓包和low的对比发现，由原来的get方式变成了post
将抓到的包复制另存为bbskali.txt

执行如下命令;

sqlmap -r "/root/bbskali.txt" --dbs

未完待续，好累?睡觉了！明天接着码字！

版权属于：逍遥子大表哥

本文链接：https://blog.bbskali.cn/2051.html

按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

最后修改：2023 年 08 月 04 日

如果觉得我的文章对你有用，请随意赞赏

此处评论已关闭

DVWA通关秘籍

literature • 2020 年 06 月 21 日

<p><code>DVWA</code>是一款基于PHP和mysql开发的web靶场练习平台，集成了常见的web漏洞如<code>sql注入</code>,<code>xss</code>，<code>密码破解</code>等常见漏洞。本教程将以DVWA为例，演示常见的web漏洞的利用和攻击。<br /><img src="https://blog.bbskali.cn/usr/uploads/2020/06/2015685598.jpg" alt="dvwa" title="dvwa" style="" class="aligncenter"style=""></p><h3>下载安装</h3><p>点击下面的连接开始下载，并配置<code>config.inc.php</code>文件。</p><pre><code class="lang-php">$_DVWA[ 'db_server' ]   = '127.0.0.1';
$_DVWA[ 'db_database' ] = 'dvwa';
$_DVWA[ 'db_user' ]     = 'dvwa';
$_DVWA[ 'db_password' ] = '123456';</code></pre><p>更改为你的数据库账号信息。</p><h3>登录创建数据库</h3><p>访问<code>http://127.0.0.1</code>输入账号和密码均为<code>admin</code>点击<code>Create / Reset Database</code>创建数据库，当数据库创建完成后，会自动登出，用户名：<code>admin</code>密码：<code>password</code>重新登录。<br /><img src="https://blog.bbskali.cn/usr/uploads/2020/06/3439680219.png" alt="" title="" style="" class="aligncenter"style=""><br />配置完成后的界面<br /><img src="https://blog.bbskali.cn/usr/uploads/2020/06/4113493559.png" alt="登录成功" title="登录成功" style="" class="aligncenter"style=""><br />这样dvwa的安装和配置就完成了。</p><p style="color:red">在dvwa security选项中，可以调整dvwa的难易程度，</p><h3>Brute Force（low）</h3><p><code>Brute Force</code>即为暴力破解，通过枚举获取管理员的账号和密码,在实际的操作中，一般用来破解后台管理系统的登录。</p><h3>准备</h3><ul>
 <li>user.txt pass.txt(用户字典和密码字典)</li>
 <li><p>神器burp</p><h3>在burp中抓包</h3><p>打开浏览器，在该模块任意输入账号和密码，在burp中抓包。<br /><img src="https://niu.bbskali.cn/be945289621c8f57001f2b8bd62345fe-blogsy" alt="burp抓包" title="burp抓包" style="" class="aligncenter"style=""><br />抓到包后，右键<code>send ro intruder</code><br /><img src="https://niu.bbskali.cn/e67456fcf810be08be92b05cdf92301e-blogsy" alt="send to intruder" title="send to intruder" style="" class="aligncenter"style=""><br />在<code>intruder</code>的<code>positions</code>选择中，先点击<code>clear$</code>清除所有的变量。<br />然后分别给<code>username</code>和<code>password</code>这两个字段后面的内容添加<code>add$</code><br /><img src="https://niu.bbskali.cn/204b1ab1fff4a9602b17ff25ae2c695b-blogsy" alt="添加变量" title="添加变量" style="" class="aligncenter"style=""><br />并将<code>attack type</code>的值设置为<code>cluster bomb</code><br />在<code>payloads</code>选择中分别给<code>payload 1</code>和<code>payload 2</code>设置字典路劲。<br /><img src="https://niu.bbskali.cn/3b0ad2c7a44e90c9069edfb66286931d" alt="" title="" style="" class="aligncenter"style=""><br /><img src="https://niu.bbskali.cn/54e0212a967731bf03086b51d388eb9f" alt="" title="" style="" class="aligncenter"style=""><br />然后点击上方的<code>start attack</code><br /><img src="https://niu.bbskali.cn/2ffb4edccb05cd8478d80b6b59508e44-blogsy" alt="" title="" style="" class="aligncenter"style=""><br />如上，开始枚举破解。<br />通过<code>length</code>的长度判决即可。<br /><img src="https://niu.bbskali.cn/05cbb0ed89e2bd4b2aeae1ec00e62b3c" alt="红色部分为破解的密码" title="红色部分为破解的密码" style="" class="aligncenter"style=""><br />通过上面的破解，我们发现<code>length</code>的长度存在不一样，大的为破解成功的账号和密码。</p><h3>Brute Force（medium）</h3><p>中等等级的暴力破解和低等级的相同，只是低等级的暴力破解可以进行sql注入，而中等级的把其中的字符串给过滤掉了，但是操作相同。<br />需要注意的是中级的暴力破解相对来说较慢是因为有个sleep函数，在破解失败后会使程序停止运行两秒。</p><h3>Brute Force（higt）</h3><p>高等级的暴力破解和低等级、中等等级的暴力破解不相同，它增加了一个user_token参数，所以增加了爆破难度，但是依然可以破解<br /><img src="https://niu.bbskali.cn/6dad122ff46192368a81537161e80713" alt="" title="" style="" class="aligncenter"style=""><br />通过和low的对比，多了一个<code>token</code>参数。<br />将抓到的包发送到<code>intrude</code>，选择攻击模式为<code>pitchfock</code>，并且给要破解的项带上美元符号<br /><img src="https://niu.bbskali.cn/204ee21435764c9d2201b32190b66546-blogsy" alt="" title="" style="" class="aligncenter"style=""><br />在<code>options</code>选项中，找到<code>grep-extact</code><br /><img src="https://niu.bbskali.cn/f2281a79f44823799bdf3fe34c47568b" alt="" title="" style="" class="aligncenter"style=""><br />找到<code>Redirections</code>模块设置允许重定向，选择<code>always</code><br /><img src="https://niu.bbskali.cn/eba2bf14ab5564958ffd35aee9ead088" alt="" title="" style="" class="aligncenter"style=""><br />设置密码本，点击payload，选择第一项的密码本与低等级的相同，第二项的时候选择Recursive grep 并且把之前得到的token值粘贴到下方的方框中。<br /><img src="https://niu.bbskali.cn/c9d81e74fcd8237f18e4ccdce430aeb2" alt="" title="" style="" class="aligncenter"style=""><br />破解效果<br /><img src="https://niu.bbskali.cn/b75c0058aef7311f9b1194ffc37c238a" alt="" title="" style="" class="aligncenter"style=""></p><h3>命令注入 Command Injection</h3><p>命令注入（Command Injection），对一些函数的参数没有做过滤或过滤不严导致的，可以执行系统或者应用指令（CMD命令或者 命令）的一种注入攻击手段。PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一。</p><h3>命令连接符</h3><p><code>command1 && command2 </code><br />&&表示先执行command1，执行成功后执行command 2，否则不执行command 2<br /><code>command1 & command2</code><br />$表示先执行command 1，不管是否成功，都会执行command 2<br /><code>command1 || command2</code><br />||表示先执行command1，执行失败后，执行command2</p><h3>low</h3><p>我们先选输入一个ip地址，发现是对ip地址的ping功能<br /><img src="https://niu.bbskali.cn/a8528764dac8a09f8c5459b5845bd5a2" alt="" title="" style="" class="aligncenter"style=""></p><h3>解决乱码问题</h3><p>解决此问题的方法：在DVWA-master\dvwa\includes目录下找到dvwaPage.inc.php文件中所有的”charset=utf-8”，修改”charset=gb2312”，即可。<br /><strong>利用</strong></p><pre><code>192.168.0.1 && net user</code></pre><p><img src="https://niu.bbskali.cn/428298de8abea7db34028a4c12b7d471" alt="" title="" style="" class="aligncenter"style=""></p><h3>Medium级别</h3><p>服务端代码解读</p><pre><code class="lang-php"><?php

if( isset( $_POST[ 'Submit' ]  ) ) {

// Get input

$target = $_REQUEST[ 'ip' ];

// Set blacklist

$substitutions = array(

'&&' => '',

';'  => '',

);

// Remove any of the charactars in the array (blacklist).

$target = str_replace( array_keys( $substitutions ), $substitutions, $target );

// Determine OS and execute the ping command.

if( stristr( php_uname( 's' ), 'Windows NT' ) ) {

// Windows

$cmd = shell_exec( 'ping  ' . $target );

}

else {

// *nix

$cmd = shell_exec( 'ping  -c 4 ' . $target );

}

// Feedback for the end user

echo "<pre>{$cmd}</pre>";

}

?></code></pre><p>可以看到，相比Low级别的代码，服务器端对ip参数做了一定过滤，即把”&&” 、”;”删除，本质上采用的是黑名单机制，因此依旧存在安全问题。</p></li>
</ul><p><strong>漏洞利用</strong></p><pre><code>127.0.0.1 & ipconfig</code></pre><p><img src="https://niu.bbskali.cn/865d1cb148eaaea1f2e6630b1081c262-blogsy" alt="" title="" style="" class="aligncenter"style=""></p><h3>High</h3><p>代码解读</p><pre><code class="lang-php"><?php

if( isset( $_POST[ 'Submit' ]  ) ) {

// Get input

$target = trim($_REQUEST[ 'ip' ]);

// Set blacklist

$substitutions = array(

'&'  => '',

';'  => '',

'|  ' => '',

'-'  => '',

'$'  => '',

'('  => '',

')'  => '',

'`'  => '',

'||' => '',

);

// Remove any of the charactars in the array (blacklist).

$target = str_replace( array_keys( $substitutions ), $substitutions, $target );

// Determine OS and execute the ping command.

if( stristr( php_uname( 's' ), 'Windows NT' ) ) {

// Windows

$cmd = shell_exec( 'ping  ' . $target );

}

else {

// *nix

$cmd = shell_exec( 'ping  -c 4 ' . $target );

}

// Feedback for the end user

echo "<pre>{$cmd}</pre>";

}

?> </code></pre><p>相比Medium级别的代码，High级别的代码进一步完善了黑名单，但由于黑名单机制的局限性，我们依然可以绕过。<br /><strong>漏洞利用</strong></p><p>黑名单看似过滤了所有的非法字符，但仔细观察到是把<code>| </code>（注意这里|后有一个空格）替换为空字符，于是 <code>|</code>成了“漏网之鱼”。</p><pre><code>127.0.0.1|dir</code></pre><p><img src="https://niu.bbskali.cn/9cf27d48c4bc44c2433f668413d1dabc" alt="" title="" style="" class="aligncenter"style=""></p><h3>跨站请求(csrf)</h3><p>CSRF，全称Cross-site request forgery，翻译过来就是跨站请求伪造，是指利用受害者尚未失效的身份认证信息（cookie、会话等），诱骗其点击恶意链接或者访问包含攻击代码的页面，在受害人不知情的情况下以受害者的身份向（身份认证信息所对应的）服务器发送请求，从而完成非法操作（如转账、改密等）。</p><h3>low级别</h3><p>我们先对其抓包<br /><img src="https://niu.bbskali.cn/698d85b86e061f5ef61313a59cd6efc2" alt="" title="" style="" class="aligncenter"style=""></p><p><img src="https://niu.bbskali.cn/30c64f8fbafcc484791eeecacec01e6c" alt="" title="" style="" class="aligncenter"style=""><br />也就是说，当我们访问<span class="external-link"><i data-feather="external-link"></i>http://127.0.0.1/vulnerabilities/csrf/?password_new=888888&password_conf=888888&Change=Change</span>我们的密码就会改变，我们可以伪造这条链接，发送给受害者，在不知不觉中对方的密码就会被修改。<br /><img src="https://niu.bbskali.cn/ba39c3f4c0d68289b60f81daad487a01" alt="" title="" style="" class="aligncenter"style=""></p><h3>Medium</h3><p>Medium级别的代码检查了保留变量 HTTP_REFERER（http包头的Referer参数的值，表示来源地址）中是否包含SERVER_NAME（http包头的Host参数，及要访问的主机名，这里是192.168.153.130），希望通过这种机制抵御CSRF攻击。<br />漏洞利用<br />过滤规则是http包头的Referer参数的值中必须包含主机名（这里是192.168.153.130）<br />我们可以将攻击页面命名为192.168.153.130.html（页面被放置在攻击者的服务器里，这里是10.4.253.2）就可以绕过了<br /><img src="https://niu.bbskali.cn/5ea64de302446dbda17ecdc8aec93ab5" alt="" title="" style="" class="aligncenter"style=""></p><h3>hig</h3><p>High级别的反CSRF机制，关键是要获取token，要利用受害者的cookie去修改密码的页面获取关键的token。<br />试着去构造一个攻击页面，将其放置在攻击者的服务器，引诱受害者访问，从而完成CSRF攻击。</p><h3>File Inclusion(文件包含)</h3><p>File Inclusion，意思是文件包含（漏洞），是指当服务器开启allow_url_include选项时，就可以通过php的某些特性函数（include()，require()和include_once()，require_once()）利用url去动态包含文件，此时如果没有对文件来源进行严格审查，就会导致任意文件读取或者任意命令执行。文件包含漏洞分为本地文件包含漏洞与远程文件包含漏洞，远程文件包含漏洞是因为开启了php配置中的allow_url_fopen选项（选项开启之后，服务器允许包含一个远程的文件）。</p><h3>low</h3><p>我们先点击<code>file1.php </code>效果如下：<br /><img src="https://niu.bbskali.cn/55e640ed51b6e27f0cc3911993228d93" alt="" title="" style="" class="aligncenter"style=""><br />在bur中对其抓包<br /><img src="https://niu.bbskali.cn/f512c035de51e6b4b7ff021b63f3ae83" alt="" title="" style="" class="aligncenter"style=""><br />读取任意文件测试，我们在D盘新建一个txt<br />构造下面命令：<br />读取d盘下的bbskali.txt文件<br /><span class="external-link"><i data-feather="external-link"></i>http://192.168.123.129/vulnerabilities/fi/?page=D:</span>\bbskali.txt<br /><img src="https://niu.bbskali.cn/de8c9b528e5f89ffc4228fa091d401ee" alt="" title="" style="" class="aligncenter"style=""><br />访问远程文件<br /><span class="external-link"><i data-feather="external-link"></i>http://192.168.123.129/vulnerabilities/fi/?page=http://192.168.123.129/22.php</span><br /><img src="https://niu.bbskali.cn/190dd4a71042dd413746594f7394c513" alt="" title="" style="" class="aligncenter"style=""><br />这样便完成了文件包含攻击。</p><h3>Medium</h3><p>Medium级别的代码增加了str_replace函数，对page参数进行了一定的处理，将”http:// ”、”https://”、 ” ../”、”..\”替换为空字符，即删除。但是对相对路劲的限制没多大。<br /><span class="external-link"><i data-feather="external-link"></i>http://192.168.123.129/vulnerabilities/fi/?page=hthttp://tp://192.168.123.129/22.php</span><br />当然，上面的方法比较麻烦的话，我们可以尝试将url进行编码。这样便躲过了规则的限制。</p><h3>High</h3><p>High级别的代码规定只能包含file开头的文件，看似安全，但依然可以利用file协议绕过防护策略。</p><h3>文件上传(File Upload)</h3><p>利用文件上传，我们可以上传我们的一句话木马，很方便的会获得系统shell</p><h3>low</h3><p>我们建立一个php文件，浏览后直接上传成功。<br /><img src="https://niu.bbskali.cn/c93840fb49b05a1b89bc4e599092dc0e" alt="" title="" style="" class="aligncenter"style=""></p><h3>medium</h3><p>如果我们直接上传，会提示如下<code>Your image was not uploaded. We can only accept JPEG or PNG images.</code>可以看到，对上传的文件做出了要求，必须是jpg和png<br />解决方法<br />抓包修改文件类型即可<br /><img src="https://niu.bbskali.cn/38368a33ab260456ecf9cc3484ebe651" alt="" title="" style="" class="aligncenter"style=""><br />如下，成功上传。<br /><img src="https://niu.bbskali.cn/ee0043cc6ee41fc81f61aad766981e95" alt="" title="" style="" class="aligncenter"style=""><br />还有一种方法就是将php的后缀改成jpg，然后在burp中将其重新改回php即可。</p><h3>high</h3><p>要求上传的文件类型必须为：”.jpg”、”.jpeg” 、”*.png”之一，同时限制了文件的长度。<br />所以，一种简单的方法就是，合成图片木马。但是这种方法受到php环境的限制，有时不能成功解析php图片木马。<br /><strong>最佳方案</strong><br />图片木马配合命令注入<br />我们先做一个图片木马</p><pre><code class="lang-php">GIF98
<?php
phpinfo();
?></code></pre><p><img src="https://niu.bbskali.cn/8c8ec158637fde83c72eb762c71043c7" alt="" title="" style="" class="aligncenter"style=""><br />然后在命令注入模块中，执行下面命令</p><pre><code>127.0.0.1 & copy D:\phpstudy_pro\WWW\hackable\uploads\22.jpeg D:\phpstudy_pro\WWW\hackable\uploads\aa.php</code></pre><p><img src="https://niu.bbskali.cn/866ca0c6f26d5548df6d2e936334b60f" alt="" title="" style="" class="aligncenter"style=""><br />成功将图片转变为php<br /><img src="https://niu.bbskali.cn/7f55ef7739775dff344a4f5a8244824b" alt="" title="" style="" class="aligncenter"style=""></p><h3>SQL Injection</h3><h3>low</h3><p>首先我们对其进行抓包<br /><img src="https://niu.bbskali.cn/6a5524eb4fbcdbcea838293f24fb064e" alt="" title="" style="" class="aligncenter"style=""><br />废话不说，神器sqlmap走一波</p><pre><code>sqlmap -u "http://192.168.123.129//vulnerabilities/sqli/?id=1&Submit=Submit" --dbs</code></pre><p>提示302跳转到了登录页面<br /><img src="https://niu.bbskali.cn/abf88eeae8ff9a5aa69ed1ec255c7de0" alt="" title="" style="" class="aligncenter"style=""><br />所以，我们要在命令中加入cookie保存会话的在线<br />在burp抓到的包里面，我们复制<code>PHPSESSID=ff4rv0j6rkgv9fnqlvfmhch8bh; security=low</code>放到sqlmap即可。<br />所以，最终的命令为：</p><pre><code>sqlmap -u "http://192.168.123.129//vulnerabilities/sqli/?id=1&Submit=Submit" --cookie="PHPSESSID=ff4rv0j6rkgv9fnqlvfmhch8bh; security=low" --dbs</code></pre><p>成功爆出数据库<br /><img src="https://niu.bbskali.cn/b9911d95095677ef2eed4f9f4113ffb4" alt="" title="" style="" class="aligncenter"style=""><br />其他的后续操作我这里就不在啰嗦了。</p><h3>medium</h3><p>同样的方法，还时对其抓包<br />通过抓包和low的对比发现，由原来的get方式变成了post<br />将抓到的包复制另存为<code>bbskali.txt</code><br /><img src="https://niu.bbskali.cn/0205bc80d87954918b9b1b6b98457598" alt="" title="" style="" class="aligncenter"style=""><br />执行如下命令;</p><pre><code>sqlmap -r "/root/bbskali.txt" --dbs</code></pre><p><img src="https://niu.bbskali.cn/e6ca654d09a9dfcdbada766316a71353" alt="" title="" style="" class="aligncenter"style=""></p><p>未完待续，好累?睡觉了！明天接着码字！ <img src="https://blog.bbskali.cn/usr/themes/handsome/assets/img/emotion/aru/blood2.png" class="aligncenter"></p><p><hr class="content-copyright" style="margin-top:50px"></p><div class="post-copyright" style="font-style:normal"><p class="iconfont-copyright"><i class="glyphicon glyphicon-copyright-mark"></i></p><p class="content-copyright">版权属于：逍遥子大表哥</p><p class="content-copyright">本文链接：https://blog.bbskali.cn/2051.html</p><p class="content-copyright">按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。</p></div>

DVWA通关秘籍

下载安装

登录创建数据库

Brute Force（low）

准备

在burp中抓包

Brute Force（medium）

Brute Force（higt）

命令注入 Command Injection

命令连接符

low

解决乱码问题

Medium级别

High

跨站请求(csrf)

low级别

Medium

hig

File Inclusion(文件包含)

low

Medium

High

文件上传(File Upload)

low

medium

high

SQL Injection

low

medium

live/msn等微软绝版邮箱详细的注册教程

欢迎使用 Typecho

一个功能强大又好用的RSS订阅器：FreshRSS安装教程

VPS使用BaiduPCS-Go高速下载百度网盘的文件，支持上传/离线下载等操作

使用Caddy申请免费的Let’s Encrypt泛域名SSL证书

Kali下常用的Linux编辑器

CentOS/Debian系统下自动定时重启设定方法

JS随机播放音乐

分享一个SSL证书链补全工具，解决部分浏览器显示证书不可信的问题

轻量级论坛Carbon Forum搭建教程

DVWA通关秘籍