Kali下利用XAMPP搭建DVWA及使用command injection
来源:互联网 发布:入侵网站修改数据 编辑:程序博客网 时间:2024/06/06 00:20
1首先,在VIrtualBox虚拟机上安装kali。
【注】:校园网使用桥接网卡有可能会连接不上网,可以换成网络地址转换器(NAT)。
kali安装好后首先要换源,然后更新系统:
2 下载XAMPP
首先查看PHP的版本,在XAMPP中要下载对应版本,我这个显示PHP7.0版本,
所以在https://www.apachefriends.org/download.html下载对应版本,运行下载的文件:
一直选择next,最后安装完成。系统将下载的安装包默认安装在/opt/lampp下。启动XAMPP,并点击Start All,开启服务:
或者终端输入:/opt/lampp/lamppstart就启动了xampp
3搭建DVWA
首先下载DVWAhttps://github.com/ethicalhack3r/DVWA/archive/master.zip
将DVWA-master移动到/opt/lamp/htdocs下,并且把htdocs下的其他文件移动走。
以防后面出现报错,改一下DVWA-master的权限。
将/opt/lamp/htdocs/DVWA-master/config/connfig.inc.php.dist改为/opt/lamp/htdocs/DVWA-master/config/config.inc.php。
编辑condig.inc.php的内容,改为如图:
4 启动DVWA
在浏览器中输入127.0.0.1/DVWA-master/
输入用户名:admin,密码:password
http://www.freebuf.com/articles/web/116714.html
5 使用Command injection
首先,DVWA有四种安全级别模式:Low,Medium,High,Impossible。
点击DVWA Security,进入可以选择不同的安全模式:
(1) Low的核心代码:
php_uname(mode):这个函数会返回运行php的操作系统的相关描述,参数mode可取值:
“a”:此为默认,包含序列“s, n ,r, v, m”里的所有模式;
“s”:返回操作系统名称;
“r”:返回版本名称;
“v”:返回版本信息;
“m”:返回机器类型。
Command1&&Command2:先执行Command1,成功后才可以执行Command2;
Command1&Command2:先执行Command1,不管成功与否都执行Command2;先显示Command2的结果,最后显示Command1的结果;
Command1|Command2:将Command1的输出作为Command2的输入,并且只打印Command2的执行结果。
例如:127.0.0.1&&ls /opt/lampp
这个就可以显示你/opt/lamp目录下的所有文件。
(2) Medium的核心代码:
服务器过滤了“&&”和“;“,但是“&”不会受影响。例如:写成“127.0.0.1&;&ls -al”。
(3) High 的核心代码:
这个代码中是“| ”,可以用“|”绕过。例如:“127.0.0.1|who”
(4) Impossible的核心代码:
Impossible对ip做了严格限制,只有“数字.数字.数字.数字”这种格式才会被执行,因此不存在命令注入漏洞。
- Kali下利用XAMPP搭建DVWA及使用command injection
- 在Kali linux下安装XAMPP并搭建DVWA遇到的问题及解决办法
- dvwa-command injection
- –DVWA-command injection
- kali linux 2.0下搭建DVWA渗透测试演练平台
- kali linux 2.0下搭建DVWA渗透测试演练平台
- Linux环境使用xampp搭建DVWA渗透测试平台
- DVWA - Command Injection (low, medium, high)
- DVWA-1.9系列操作之Command Injection
- DVWA系列(四)----Command Injection (命令行注入)
- DVWA笔记之二:Command Injection
- DVWA下的SQL Injection(Blind)
- 在kali Linux中搭建DVWA
- 最新版Kali Linux上搭建DVWA
- DVWA-1.9全级别教程之Command Injection
- sqlmap dvwa SQL Injection使用小记
- ubuntu下xampp+dvwa安装到登入全过程
- 使用XAMPP和DVWA在Windows7上搭建渗透测试环境
- A
- 获取gradle.properties中的值
- 一起学Java_面向对象(5)
- 极角排序详解
- centos下maven安装以及问题解决
- Kali下利用XAMPP搭建DVWA及使用command injection
- TI—CC3200【2】通过UDP传输音频
- HelloWorld
- mysql中什么数据类型可以存储路径
- 将数字转为中文金额的大写方式(C++版)
- mybatis的foreach
- static_cast, dynamic_cast, reinterpret_cast, const_cast区别比较
- java实现三个线程A B C,A线程打印A之后才能B线程打印B,然后接着C线程执行打印C,继而循环下去
- string的实现