dvwa

(1).SQL概念 　　所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。它是利用现有应用程序，可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库。比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击。例：12306.cn和csdn等网站帐号和密码的泄露，都有可能是sql注入导致的。 (2).SQLmap 　　 SQLmap是一款用来检测与利用 SQL注入漏洞的免费开源工具，有一个非常棒的特性，即对检测与利用的自动化处理（数据库指纹、访问底层文件系统、执行命令）。官网： http://sqlmap.org/ (3).实验环境 youxi1　　192.168.1.6　　SQLmap youxi2　　192.168.1.7　　渗透测试演练系统DVWA (4).youxi1上安装SQLmap 　　安装python [root@youxi1 ~]# yum -y install python [root@youxi1 ~]# python -V Python 2.7.5 　　然后将下载好的SQLmap源码包上传，并解压运行. [root@youxi1 ~]# cd /usr/local/ [root@youxi1

0x01 简介 执行PHP文件时，可以通过文件包含函数加载另一个文件，当服务器开启allow_url_include选项时，就可以通过php的某些特性函数，利用url去动态包含文件并解析执行，这会为开发者节省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时，您只更新一个包含文件就可以了，或者当您向网站添加一张新页面时，仅仅需要修改一下菜单文件（而不是更新所有网页中的链接）。但是，此时如果没有对文件来源进行严格审查，就会导致任意文件读取或者任意命令执行。文件包含漏洞分为本地文件包含漏洞与远程文件包含漏洞，远程文件包含漏洞是因为开启了php配置中的allow_url_fopen选项（选项开启之后，服务器允许包含一个远程的文件）。 0x02 文件包含相关函数 include()， require() include_once() require_once() include和require区别主要是，include在包含的过程中如果出现错误，会抛出一个警告，程序继续正常运行；而require函数出现错误的时候，会直接报错并退出程序的执行。 而include_once()，require_once()这两个函数，与前两个的不同之处在于这两个函数只包含一次，适用于在脚本执行期间同一个文件有可能被包括超过一次的情况下，你想确保它只被包括一次以避免函数重定义

SQL Injection（Blind），即SQL盲注，与一般注入的区别在于，一般的注入攻击者可以直接从页面上看到注入语句的执行结果，而盲注时攻击者通常是无法从显示页面上获取执行结果，甚至连注入语句是否执行都无从得知，因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。 手工盲注思路 手工盲注的过程，就像你与一个机器人聊天，这个机器人知道的很多，但只会回答“是”或者“不是”，因此你需要询问它这样的问题，例如“数据库名字的第一个字母是不是a啊？”，通过这种机械的询问，最终获得你想要的数据。 盲注分为基于布尔的盲注、基于时间的盲注以及基于报错的盲注，这里由于实验环境的限制，只演示基于布尔的盲注与基于时间的盲注。 下面简要介绍手工盲注的步骤（可与之前的手工注入作比较）： 1.判断是否存在注入，注入是字符型还是数字型 2.猜解当前数据库名 3.猜解数据库中的表名 4.猜解表中的字段名 5.猜解数据 再介绍一下盲注中常用的几个函数： substr() count() ascii() length() left() 下面对四种级别的代码进行分析。 Low Security Level <?php if( isset( $_GET[ 'Submit' ] ) ) { // Get input $id = $_GET[ 'id' ]; // Check database

Command Injection 介绍 命令注入（Command Injection），对一些函数的参数没有做过滤或过滤不严导致的，可以执行系统或者应用指令（CMD命令或者bash命令）的一种注入攻击手段。PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一。 判断命令注入流程 是否调用系统命令 函数或函数的参数是否可控 是否拼接注入命令 命令连接符 command1 && command2 &&表示先执行command1，执行成功后执行command 2，否则不执行command 2 command1 & command2 $表示先执行command 1，不管是否成功，都会执行command 2 command1 || command2 ||表示先执行command1，执行失败后，执行command2 command1 | command2 |表示将command 1的输出作为command 2的输入，只打印command 2执行的结果。 以上连接符在windows和linux环境下都支持。 下面对四种级别的代码进行分析。 Low Security Level DVWA Command Injection 通关教程 Web安全 / 2018-02-20 / 0 条评论 / 1,722 views Command Injection 介绍 命令注入（Command

File Upload，即文件上传。文件上传漏洞通常是由于对上传文件的类型、内容没有进行严格的过滤、检查，使得攻击者可以通过上传木马获取服务器的webshell权限，因此文件上传漏洞带来的危害常常是毁灭性的。 先看常规的文件上传操作： 客户端上传： <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <title>文件上传操作</title> </head> <body> <form action="upload.php" method="post" enctype="multipart/form-data"> 用户名：<input type="text" name="username"><br /> 头像：<input type="file" name="img"><br /> <input type="submit" value="提交"> </form> </body> </html> 在HTML <form>标签中enctype属性规定在发送到服务器之前应该如何对表单数据进行编码。 它的值有三种： application/x-www-form-urlencoded: 在发送前编码所有字符（默认） multipart/form-data: 不对字符编码

XSS 介绍 XSS，全称Cross Site Scripting，即跨站脚本攻击，某种意义上也是一种注入攻击，是指攻击者在页面中注入恶意的脚本代码，当受害者访问该页面时，恶意代码会在其浏览器上执行，需要强调的是，XSS不仅仅限于JavaScript，还包括flash等其它脚本语言。根据恶意代码是否存储在服务器中，XSS可以分为存储型的XSS与反射型的XSS。 DOM型的XSS由于其特殊性，常常被分为第三种，这是一种基于DOM树的XSS。例如服务器端经常使用document.boby.innerHtml等函数动态生成html页面，如果这些函数在引用某些变量时没有进行过滤或检查，就会产生DOM型的XSS。DOM型XSS可能是存储型，也有可能是反射型。 XSS利用的常见用途： 盗取用户 cookies 劫持会话 流量劫持 网页挂马 DDOS 提升权限 ... 本次先介绍反射型XSS： Reflected Cross Site Scripting 反射型XSS，非持久化，需要欺骗用户自己去点击带有特定参数的XSS代码链接才能触发引起（服务器中没有这样的页面和内容），一般容易出现在搜索页面。 Low Security Level <?php // Is there any input? if( array_key_exists( "name", $_GET ) && $_GET[

DOM，全称Document Object Model，是一个平台和语言都中立的接口，可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。 DOM型XSS其实是一种特殊类型的反射型XSS，它是基于DOM文档对象模型的一种漏洞。 在网站页面中有许多页面的元素，当页面到达浏览器时浏览器会为页面创建一个顶级的Document object文档对象，接着生成各个子文档对象，每个页面元素对应一个文档对象，每个文档对象包含属性、方法和事件。可以通过JS脚本对文档对象进行编辑从而修改页面的元素。也就是说，客户端的脚本程序可以通过DOM来动态修改页面内容，从客户端获取DOM中的数据并在本地执行。基于这个特性，就可以利用JS脚本来实现XSS漏洞的利用。 可能触发DOM型XSS的属性： document.referer 属性 window.name 属性 location 属性 innerHTML 属性 documen.write 属性 Low Security Level Exploit http://www.dvwa.com/vulnerabilities/xss_d/?default=English<script>alert(/xss/);</script> Medium Security Level Exploit http://www.dvwa.com/vulnerabilities

File Inclusion 介绍 File Inclusion，即文件包含(漏洞)，是指当服务器开启allow_url_include选项时，就可以通过php的某些特性函数:include()，require()和include_once()，require_once()等等，利用url去动态包含文件，此时如果没有对文件来源进行严格审查，就会导致任意文件读取或者任意命令执行。 文件包含分类： LFI:本地文件包含(Local File Inclusion) RFI:远程文件包含(Remote File Inclusion) 与文件包含有关的函数： include()：只有代码执行到该函数时才会包含文件进来，发生错误时只给出一个警告并继续向下执行。 include_once()：和 include()功能相同，区别在于当重复调用同一文件时，程序只调用一次。 require()：只要程序执行就包含文件进来，发生错误时会输出错误结果并终止运行。 require_once()：和 require()功能相同，区别在于当重复调用同一文件时，程序只调用一次。 相关的 php.ini 配置参数： allow_url_fopen = on （默认开启） allow_url_include = on （默认关闭） 远程文件包含是因为开启了 php 配置中的 allow_url_fopen 选项

SQL注入 low　　127.0.0.1 | whoami medium　　127.0.0.1| whoami　　由于源码中会过滤‘ |’，所以将空格去掉即可 文件包含 low 本地payload　　http://127.0.0.1/DVWA/vulnerabilities/fi/?page=../../../123.txt 　　　　　　　 查看网页元素，找到cookies，在蚁剑中进行配置 远程payload　　http://192.168.1.168/dvwa/vulnerabilities/fi/?page=http://192.168.1.168/123.txt medium 因为源码中会将../删除，所以将路径中的../改为....//即可 high http://192.168.1.168/dvwa/vulnerabilities/fi/?page=file://C:\phpStudy\PHPTutorial\WWW\123.txt 因为源码中要求文件头为file，file:\\是用来寻找文件的命令 或 burp抓包传入一句话<?php phpinfo();?> 这样日志里记录的一句话就不会被url编码 http://192.168.1.120/dvwa/vulnerabilities/fi/?page=file:\\..\..\..\..\..\Apache\logs

DVWA DVWA是一个用来进行安全脆弱鉴定的PHP/MYSQL WEB应用，主要是为安全专业人员测试自己的专业技能和工具提供合法的环境，帮助web开发者更好的理解web应用安全防范过程 DVWA一共有十个模块分别是： Brute Force （暴力破解） Command Injection (命令行注入) CSRF（跨站请求伪造） File Inclusion (文件包含) File Upload (文件上传) Insecure CAPTCHA (不安全的验证码) SQL Injection (SQL注入) SQL Injection(Blind)（sql盲注） XSS（Reflected）(反射型跨站脚本) XSS（Stored）(存储型跨站脚本) 注意： DVWA1.9代码分为四种安全级别：Low,Medium,High,Impossible。初学者可以通过比较四种级别的代码，接触到一些PHP代码审计内容 File Inclusion是文件包含漏洞，是指当服务器开始allow_url_include选项时4，可以通过PHP某些特性函数( include,require include_once,require_once)利用URL去动态包含文件，此时若果没有对文件来源进行严格审查，就会导致任意文件读取或者任意命令执行，文件包含漏洞分为本地文件包含漏洞与远程文件包含漏洞