渗透训练日记

​

 老师说打完皮卡丘 dvwa webgoat 我就可以挖漏洞赚钱了 兴趣来了

开始训练争取今天dvwa low漏洞打完

LOW漏洞

1.暴力破解 使用 burp字典攻击 ez 懒得写笔记

​编辑

2.LOW命令注入

DVWA-命令注入 全级别教程_dvwa注入-CSDN博客

别人帮我打完 还解决乱码问题 ok 

eg 使用其他命令  ：| ipconfig

192.168.x.x && dir

顺便跟着这文章打完其他等级

中等  命令注入

查看源代码

​编辑

只屏蔽了 && ；但是 管道， &没有屏蔽 所以：

​编辑

HIGH 命令注入：

不知道为什么 | 这个管道命令明明过滤了却没有成功 okok 下一个 

不可能难度：

规范输入 ok 不可能破解 下一个

CSRF 

【精选】DVWA-CSRF全通关（图文详解+源码解析）_dvwacsrf-CSDN博客

low：

​编辑

直接把密码写在网址上了 6 用bp直接暴力破解？？

算了网上搜搜其他方法

算了         

不如用我的方法

首先使用CS 制作钓鱼网站 

让在不久前登录过这网站的用户进入我的钓鱼网站

然后他的cookie 会自动登录 然后因为网站url 的密码没有加密,进入这个页面 会直接被我监听到密码是多少 OK

他只要点进http://localhost/DVWA/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change&user_token=98927d0b97c51681d191ec57258b7674#

上面这个链接是HIGH难度的 懒得回low了

我们把 password——new=（我们想修改他的密码）

然后他的账号密码就是我们的了

​编辑

下一个

LOW FILE INCLUSION

文件包含漏洞

文件包含------原理及应用和防护（1）_文件包含原理-CSDN博客

这篇文章写的很好

b站有视频把文件包含 low - high打完 我也跟着打了 ， 没学到什么 但是这篇文章倒是很重要

​编辑

如何防御：

​