提示:本實驗僅用於學習參考,不可用作其他用途!
實驗環境要求:
總體目標:基於centos7搭建dvwa web服務靶機,使用主機上的瀏覽器和kali虛擬機作為攻擊機。使用kali中的burpsuite暴力破解網站密碼;使用主機上的瀏覽器攻擊dvwa上的命令注入、文件包含、文件上傳漏洞。
任務一、在kali使用burpsuite破解網站密碼
- 在kali中啟動burpsuite並查看代理設置
- 在kali中啟動瀏覽器並設置代理服務器
- 瀏覽器訪問dvwa,使用burpsuite截獲登錄數據包
輸入用戶名密碼登錄,獲取頁面信息。
- 使用burpsuite配置有效載荷並攻擊
任務二、在主機使用瀏覽器攻擊dvwa的命令注入漏洞
- 配置dvwa為low級別,顯示/etc/passwd
- 配置dvwa為Medium級別,顯示/etc/passwd
- 配置dvwa為High級別,顯示/etc/passwd
任務三、在主機使用瀏覽器攻擊dvwa的文件包含漏洞
- 配置dvwa為low級別,顯示/etc/passwd
- 配置dvwa為Medium級別,顯示/etc/passwd
- 配置dvwa為High級別,顯示/etc/passwd
任務四、攻擊dvwa的文件上傳漏洞
- 配置dvwa為low級別,在主機使用瀏覽器上傳php一句話木馬hack.php到dvwa
- 配置dvwa為Medium級別,在kali使用BP抓包修改文件名,上傳hack.php到dvwa
3.1配置dvwa為High級別,查看文件上傳漏洞代碼
3.2在win7合成hack.jpeg並上傳到dvwa
3.3在win7使用中國菜刀連接到dvwa
