时间:2023-05-31 09:45:02 | 来源:网站运营
时间:2023-05-31 09:45:02 来源:网站运营
网站渗透学习之漏洞环境搭建:最近没事在网上搜索了一下 “黑客网站”这个关键词,发现以前比较知名的“ 黑客网站 ”都早已不复存在。可见这些年国家在互联网方面的 净网行动 取得了很不错的成果,在国家的监管下很多“ 黑客网站”,都开始转型做了 “ 网络安全”。大多数” 黑客网站“的站长也开始收敛,不在像以前那样明目张胆的到处浪,像以前录制个” 渗透教程 “,都是直接拿着别人网站来开刀的,一套教程下来也不知道要祸害多少个网站。个人忠告上面介绍了这么多,主要是想让你遵守国家法律。玩“ 渗透入侵 ”没关系,但是要在法律允许的框架内玩。不然有一天自己怎么进去了,都还不知道。
DVWA简介下面来讲一下 DVWA漏洞环境 的搭建,DVWA是一款渗透测试的演练系统,其中包含比较常见的 SQL注入、Xss攻击、文件包含、文件上传、等漏洞,用于给我们提供 “ 渗透 ”练习。
使用工具介绍
网站环境在本机上搭建网站环境,“ 断刀流 ” 还是 比较喜欢用 PHPWAMP 这个集成环境。(PHPWAMP具体介绍看《如何在本地搭建个人社工库》这篇文章),打开PHPWAMP选择网站运行服务配置,“ 断刀流”用的配置是 Nginx+MySql + php5.6。点击-->Nginx网站根目录 按钮,打开网站根目录后,把DVWA源码解压放到网站根目录。(DVWA源码在文章后面下载)
修改配置文件进入网站根目录 打开config目录,把 config目录下的config.inc.php.dist 文件,在当前目录下复制一份,并且重命名为 config.inc.php。然后用记事本打开 config.inc.php 文件,找到db_user和db_password这俩行,在等号后面的单引号里面,分别填写上你的数据库账号和密码。如果你是用 PHPWAMP 搭建的,数据库账号密码可以在 数据库工具面板查看。
安装DVWA上面config.inc.php配置文件修改保存后,就可已在数据库里安装创建DVWA数据表了,像我是在本地搭建的,直接访问 http://127.0.0.1/setup.php页面,页面中有一个 Create / Reset Database 的按钮,点击 Create / Reset Database 按钮 完成数据库的创建。(页面太大按钮没有截出来)
登陆DVWA数据库创建好后会自动跳转到登陆页面,默认的 账号 admin 密码为 password,DVWA因为是国外开发的漏洞系统,后台页面自然也都是英文的,如果看着感觉有困难,可以自己去下载一个有道词典。
SQL注入尝尝鲜DVWA系统有点像你小时候 打魂斗罗 的感觉,漏洞有难度等级划分。就感觉在闯关一样,难度可以自行在 DVWA Security 页面调整。下面来给大家演示一下 SQL注入漏洞,在编辑框输入ID点击Submit按钮,就会在页面显示当前ID对应的姓名。但是因为页面缺少过滤,就会把编辑框输入的东西,全都带进数据库。数据库执行了这些精心构建的语句,就会爆出不必要的敏感信息。如下:
安全小提示DVWA漏洞系统 建议千万不要部署在外网服务器上,这些漏洞都是实打实存在的。别 ” 渗透测试“ 都还没学会,老窝都让人给端了,那就非常尴尬了。想学习好 ” 渗透测试 “没事就用这个漏洞系统 多加练习,先把这些基础的东西都搞熟练了,有机会在去真机上实战。
文章声明
此文章只用于技术交流学习,切勿用作非法用途,否则后果自负。
关键词:环境,漏洞,渗透,学习