漏洞防范:搭建漏洞靶场DVWA,DVWA之SQL注入漏洞,利用sqlmap把复杂的程序自动化
Posted 一米耕耘
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了漏洞防范:搭建漏洞靶场DVWA,DVWA之SQL注入漏洞,利用sqlmap把复杂的程序自动化相关的知识,希望对你有一定的参考价值。
SQL[结构化查询]:是语言用来操控数据库
1.搭建DVWA漏洞靶场(DVWA是OWASP官方编写的php网站,包含了各种网站常见的漏洞供大家学习.)
(1)PHP环境
w: windows
a:Apache Apache 是世界使用排名第一的web服务器软件,它可以运行在几乎所有广泛使用的计算机上 由于其跨平台和安全性被广泛使用,是最流行的web服务器端软件之一。
m:mysql是一个关系型数据库管理系统,属于oracle旗下产品, MySQL是最流行的关系型数据库管理系统之一
p:PHP即“超文本预处理器”,是一种通用开源脚本语言。 PHP是服务器端执行的脚本语言
Apache、MySQL、PHP三者之间的关系: Apache是一种服务器端软件,mysql是一种数据库软件,PHP是一种服务器端脚本语言 PHP编写的页面程序运行在Apache上,通过MySQL进行数据的承载和读取,最后将页面 呈现在用户的浏览器上。
WAMP环境搭建
VM虚拟机安装:参考链接:https://www.cnblogs.com/fuzongle/p/12760193.html
VM下Windows7 安装:https://blog.csdn.net/weixin_43465312/article/details/92662519
Phpstudy安装 Phpstudy是一个PHP调试环境的程序集成包,集成了最新的Apache、PHP、MySQL和一些 管理工具 下载地址:https://www.xp.cn/ https://www.xp.cn/download.html 安装教程:【windows版本】
Phpstudy v8.1 安装使用及常见问题汇总(最新版本) 教程参考链接:https://www.xp.cn/wenda/392.html
下载PHPstudy
简单了解phpstudy
1、当服务器指示灯为红色时,表示服务器未开启, 指示灯为蓝色是,表示访问在正常运行
2、可以在网站的选项栏中根据需要创建新的站点
3、可以在数据库选项栏中,对数据库进行一些操作,如 创建数据库,更改密码等
4、在环境选项栏中,可以下载辅助工具和运行环境。 创建一个站点(课题演示) 在网站选项栏中进行新站点的创建,并访问验证站点是否正常工作
phpmyadmin
安装 phpMyAdmin 是一个以PHP为基础,以web-Base方式架构在网站主机上的MYSQL的数据库 管理工具
让管理者可用web接口管理MYSQL数据库 安装:在phpstudy集成环境中安装phpMyAdmin即可 参考:https://www.xp.cn/wenda/399.html
2.DVWA 漏洞环境搭建
DVWA (Dam Vulnerable Web Application)是用PHP+Mysql编写的一套用于常规WEB漏洞教学和 检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。
DVWA 下载:https://dvwa.co.uk/
1. 下载并安装PHP study
2.将解压后的DVWA源代码放置PHP study安装目录的WWW文件夹
3.进入DVWA/config目录,将config.inc.php.dist最后的.dist删去
4.打开刚刚重命名的config.including.php文件,修改db_user和db_password root root
5.浏览器访问http://127.0.0.1/DVWA/setup.php.点击最下方create database
6.浏览器打开”http://127.0.0.1/dvwa/login.php“登陆。默认用户名:admin,默认密码: password
7.设置程序安全级别 浏览器打开”http://127.0.0.1/dvwa/security.php“来做设置,分别有”低、中、高、不可能“,程序 安全级别越低,说明越容易被攻破,没有做任何的安全防护。主要是用来自我挑战不同等级的程序 防护级别的!
8、登录phpmyadmin 可以看到已经创建dvwa数据库
3.sqlmap之注入漏洞
1.下载https://sqlmap.org/,利用python运行sqlmap.py
- 将sqlmap解压在python目录里
- 在该文件夹运行命令
3.输入命令 python sqlmap.py
2.注入漏洞的过程如下
1.检测漏洞
-u url地址,即需要检测的网址
--cookie 因为DVWA需要登录,所以可在浏览器控制台里查看请求消息头中获取cookie
如图所示
第一个代码为
然后点击F12,打开开发者选项
点击重新载入
运行上代码检测结果如下
2.第二步,获取数据库名
-dbs 获取所有数据库名
代码为下图
格式:
python sqlmap.py -u " dizhi " --cookie= " " --dbs
3.获取指定数据库表
-D dvwa --tables
-D:指定获取数据库名为dvwa
--tables: 列出数据库表
结果如下
4.获取指定数据库列表项
-T users 想要获取的表是users
--columns 列出表项列
成功
5.获取数据
--dump: 读取数据
有什么问题大家可以留言评论区
DVWA靶场环境搭建
文章目录
前言
DVWA介绍:
在近些年网络安全的高速发展中,初学者已经很难找到一个网站进行渗透了,曾几何时,一个漏洞,一个工具就可以在网上找到很多有漏洞的网站去体验,当然渗透一个未经授权的系统是非法的。因此,为了能够较为真实地学习Web渗透的各种技术,就需要找一个专门用于学习的Web演练平台,人们将这种用于练习渗透的平台称为“靶场”。
DVWA可以进行SQL注入、XSS、CSRF、文件上传等漏洞的演练,由于该系统提供了多个安全演练级别,因此可以逐步地来提高Web渗透的技术。DVWA是一套开源的系统,在练习Web渗透技术的同时,也可以通过阅读源码学习到对于各种漏洞的安全防护编码。
DVWA是由PHP和MySQL开发的,因此首先需要在系统中搭建一个支持PHP的Web服务器。网上有很多支持PHP和MySQL的Web服务器集成环境,比如Wamp、phpStudy等,这里推荐使用phpStudy,该软件支持多个Apache、MySQL、PHP的版本,切换也非常方便。phpStudy直接下载安装即可使用。下载安装启动后如图1所示。
一、PHPStudy搭建
- 官网下载8.x安装包(选择和系统对应的版本)
官网:https://www.xp.cn
-
直接点击就可安装,步骤跳过
-
安装完成后,打开软件,点击启动
-
在浏览器地址栏中输入localhost或127.0.0.0,如果出现如下则正常

- 启动Apache和mysql服务
mysql不能启动的参考这边博客https://blog.csdn.net/m0_55887872/article/details/121956192
二、 DVWA靶机配置
-
进入官网,点击download,下载响应靶机包(http://www.dvwa.co.uk)
-
解压并修改文件名称为DVWA后放入 …/phpstudy_pro/WWW文件夹下
-
修改配置文件
DVWA文件的config文件夹下的config.inc.php.dist文件, 将".dist"后缀删除,并修改其中内容,mysql数据库用户名,密码,修改完成后保存)
-
在浏览器键入localhost/DVWA,进入页面,点击最下方的创建数据库
-
创建完成便可进行登录
初始 用户名:admin 密码:password
- 登录成功后就可以进入靶场了
以上是关于漏洞防范:搭建漏洞靶场DVWA,DVWA之SQL注入漏洞,利用sqlmap把复杂的程序自动化的主要内容,如果未能解决你的问题,请参考以下文章