一次对于DVWA上传漏洞的渗透练习

最新推荐文章于 2025-03-29 23:39:44 发布
原创 最新推荐文章于 2025-03-29 23:39:44 发布 · 906 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#dvwa #渗透测试

本文记录了一次针对DVWA的渗透练习,涉及低、中、高三个安全级别的文件上传漏洞利用。通过Burp Suite进行密码爆破,利用文件上传漏洞上传木马,通过Webshell获取服务器权限。在中、高安全级别下,通过修改文件类型和利用文件包含漏洞成功上传。总结了实验过程中的问题和经验,强调了实际渗透测试的复杂性和技巧。

加入渗透小组后的首次任务是搭一个靶机并进行提权,由于最近的事情比较多,拖到现在,给队友和学长先说一声抱歉。

进入DVWA

由于本次渗透训练的主要目的是文件上传,所以没有配置数据库,下载配置这一步由我的队友完成了。首先打开服务器的dvwa页面,是一个登陆的界面。
在这里插入图片描述
之前配的账号密码有些多,忘记是什么了,试了几个不对,想到前一阵刚学的burp suite,不如用一下BP爆破,反正密码肯定很简单。

首先得登陆进去

打开代理,打开BP,随便输入一个用户名和密码进行抓包
在这里插入图片描述
话不多说,直接send to intruder

使用最基本的password字典爆破,得到密码password

在这里插入图片描述
可以看出这个返回的是index.php而不是login.php。

低难度的文件上传

首先选择安全难度
在这里插入图片描述
从low开始,查看源码


<?php 
    if (isset($_POST['Upload'])) { 

            $targe
最低0.47元/天 解锁文章
DVWA漏洞练习平台
blalaa的博客
09-04 618
一、Brute Force 【Low】 【Medium】 【High】 【Impossible】 二、Command Injection 【Low】 【Medium】 【High】 【Impossible】 三、CSRF 【Low】 【Medium】 【High】 【Impossible】 四、File Inclusion 【Low】 【Medium】 【High】 【Impossible】 五、File Upload 【Low】 【Medium】 【High】 【Impossible】 六、Insecur
DVWA(Web 渗透的靶机环境)+csrf漏洞练习
热门推荐
net的博客
03-16 1万+
用来进行安全脆弱性鉴定的PHP/MySQL Web 应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。十个攻击模块,分别是:1、Brute Force(暴力(破解))、2、Command Injection(命令行注入)、3、CSRF(跨站请求伪造)、4、- File Inclusion(文件包含)、5、File Upload(文件上传)、6、Insecure CAPTCHA (不安全的验证码)、
DVMA-渗透测试漏洞练习平台
12-02
DVMA-渗透测试漏洞练习平台, 其中内含XSS、SQL注入、文件上传、文件包含、CSRF和暴力破解等各个难度的测试环境
命令执行漏洞详解及DVWA靶场练习
c_programj的博客
06-25 3669
命令执行漏洞1.产生原因2.漏洞危害3.远程命令执行4.系统命令执行命令执行常用特殊字符5.常见 命令常见系统命令与功能windowslinux6.防范措施7.dvwa靶场练习windows【Low】【Medium】【High】【Impossible】linux【low】【Medium】【High】 1.产生原因 应用未对用户输入做严格的检查过滤,导致用户输入的参数被当成命令来执行。攻击者可以任意执行系统命令,属于高危漏洞之一,也属于代码执行的范畴。 RCE:远程命令和代码执行。 2.漏洞危害 ①继承web
漏洞练习平台
qq_37751425的博客
05-14 574
WebGoat漏洞练习环境 https://github.com/WebGoat/WebGoat https://github.com/WebGoat/WebGoat-Legacy Damn Vulnerable WebApplication(漏洞练习平台) https://github.com/RandomStorm/DVWA 数据库注入练习平台 https://github.com/Audi-1/sqli-labs 用node编写的漏洞练习平台,like OWASP Node Goat https://
一个基于DVWA的攻防渗透系统,包含CTF模块.zip
11-29
DVWA(Damn Vulnerable Web Application)是一个专为学习网络安全和渗透测试而设计的Web应用,它内置了许多已知的漏洞,允许用户在合法的环境中练习寻找和利用这些漏洞。这样的系统可以极大地帮助网络安全初学者理解...
渗透测试靶场DVWA练习
最新发布
hp.puppy的博客
03-29 876
渗透测试靶场DVWA练习
DVWA文件上传漏洞低级_中级_高级
weixin_42786460的博客
09-01 1021
DVWA文件上传漏洞低级_中级_高级
DVWA练习6-暴力破解
seeicb的博客
03-11 2502
title: DVWA练习6-暴力破解 date: 2016-03-16 13:37:45 categories: 安全 tags: Web安全 一、暴力破解 1.简介 暴力破解是一种针对密码破解的方法,主要是使用枚举法,将密码逐个测试,直到找到真正的密码。一般暴力破解比较耗时。且需要好的字典。 2.攻击 一般的攻击主要是使用爆破软件进行破解,主要的工具有Hydra,burpsuite等等。 ...
Pikachu漏洞练习平台实验——SQL注入
m0_73826804的博客
02-22 3763
SQL注入漏洞,主要是开发人员在构建代码时,没有对输入边界进行安全考虑,导致攻击者可以通过合法的输入点提交一些精心构造的语句,从而欺骗后台数据库对其进行执行,导致数据库信息泄漏的一种漏洞。比如我们期望用户输入整数的id,但是用户输入了上图中下面的语句,这是条能被正常执行的SQL语句,导致表中的数据都会输出。
Pikachu漏洞练习平台实验——基于表单暴力破解
weixin_51940324的博客
05-02 2119
Pikachu漏洞练习平台实验——暴力破解(一) 基于表单的暴力破解 通过burpsuite拦截可以看到账号密码明文传输 发送到intruder进行暴力破解 把需要的参数加上$ 不需要则删除即可 设置payload我的是使用自己的文件进行爆破 把username or password is not exists~复制到Grep Match中。后面可以利用Grep Match区分哪些请求里面有这个字符串 可以开始攻击了,匹配到username or password .
DVWA漏洞演练平台 - 文件上传
weixin_30790841的博客
08-05 328
DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 中国蚁剑的使用 本来想使用中国菜刀来演示WebShell的使用的,但中国菜刀太老了且不开源,还爆出过各种后门,所以笔者比较有阴影,这里我就...
DVWA环境实战演示“文件上传漏洞
qq_40529133的博客
04-03 1335
文件上传漏洞 概念 文件上传漏洞的产生是因为Web应用程序没有对上传文件的格式进行严格过滤;攻击者可以上传病毒,恶意脚本,webshall等严重威胁服务器安全的文件,如果服务器的处理逻辑做的不够安全的话,将会导致严重后果。 准备实战环境 进入DVWA界面,把安全等级调成 “low” 找到我们的 File upload 模块 看起来像一个正常的界面,我们先随便找张图片试一下: 把这张很萌的史迪仔...
漏洞练习环境搭建笔记
qq_32812063的博客
11-21 1214
漏洞环境
DVWA——文件上传渗透
生活·代码_这里是青_分享快乐
10-24 408
靶机:OWASP Broken Web Apps VM v1.2 里 Damn Vulnerable Web App 下载链接: https://pan.baidu.com/s/1tp73YfYeHBH6vLRF_QSbBA 提取码: cfj2 一、何为文件上传漏洞 网站存在上传功能且没有规范上传文件的安全性,黑客通过文件上传漏洞执行恶意脚本,影响服务器安全。 二、大名鼎鼎的一句话木马 php的一句话木马: <?php @eval($_POST['pass']);?> asp的一句话是: &
#笔记(二十五)#dvwa漏洞File Inclusion wp
vircorns的博客
02-23 259
File Inclusion
DVWA靶场搭建与渗透
yangtailang94666的博客
09-28 599
环境搭建: 使用phpstudy 一键搭环境。 DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 官网:DVWA - Damn Vulnerable Web Application 在安装前,需要做一个准备工作,我们先去做一个PHP+Mysql的环境搭建。1.下载、安装、启动phpstudy,https:
DVWA 不跳转_一步一步学习dvwa中的渗透测试(总)
weixin_39926191的博客
11-20 583
学习下DVWA(Damn Vulnerable Web Application),那么这玩意是个啥呢?DVWA是一款渗透测试练习系统,也就是我们的测试靶机,很适合入门,要为以后的挖洞致富之路打好基础DVWA简介 DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法...
一句话木马渗透DVWA(内附caidao工具下载链接)
weixin_68989528的博客
03-08 997
一句话木马渗透DVWA(内附caidao工具下载链接)
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值