学习网络攻防技术一定离不开靶场练习，Dvwa就是一个非常经典的靶场。Dvwa是用PHP+Mysql编写的一套用于常规Web漏洞教学和检测的Web脆弱性测试程序，包含了SQL注入、XSS、盲注等常见的一些安全漏洞。

本文是i春秋论坛作家「sn0w」表哥发布的一篇关于靶场练习的文章，感兴趣的小伙伴快来学习吧。公众号旨在为大家提供更多的学习方法与技能技巧，文章仅供学习参考。

本次我们测试使用的是Version 1.9 ，首先完成的是low，也就是最简单的，其后我们会不断提高难度完成所有级别的挑战。在挑战的过程中我们会分析程序的源代码，了解漏洞产生的原理及简单的修复方案。

安装完成后默认的登录信息为admin/password，安装过程不再讲述。登录后默认的等级为impossible，我们可以通过左侧菜单栏处内的Dvwa Security进行设置，本次我们挑战的等级为Low。

测试模块1：Brute Force

暴力破解一般指穷举法，穷举法的基本思想是根据题目的部分条件确定答案的大致范围，并在此范围内对所有可能的情况逐一验证，直到全部情况验证完毕。若某个情况验证符合题目的全部条件，则为本问题的一个解；若全部情况验证后都不符合题目的全部条件，则本题无解。

穷举法也称为枚举法，通过观察页面发现没有任何防治爆破的验证，所以我们可以通过BurpSuite等工具进行枚举。

1、我们首先配置好BurpSuite的本地代理抓取登录表单信息。

2、将表单进行提交到intruder模块，并将password设置为我们破解的payload。

3、载入字典文件。

4、开始枚举，得到密码。

关于BurpSuite的详细设置因为不是我们这次的重点，所以没有详细介绍。

扩展：通过观察这个模块的源代码，我们发现这里还有一处可以利用的地方，代码如下。

文件地址：

./DVWA/vulnerabilities/brute/source/low.php

通过简单的分析代码可以看到，这是一个典型的万能密码（有关万能密码请移步：）漏洞，当我们输入'or 1=1 limit 1,1 -- 即可绕过登录验证。

测试模块2：Command Injection

命令注入攻击的常见模式为：仅仅需要输入数据的场合，却伴随着数据同时输入了恶意代码，而装载数据的系统对此并未设计良好的过滤过程，导致恶意代码也一并执行，最终导致信息泄露或者正常数据的破坏。

命令连接符：

command1 && command2 先执行command1后执行command2

command1 | command2 只执行command2

command1 & command2 先执行command2后执行command1

以上三种连接符在Windows和Linux环境下都支持。

如果程序没有进行过滤，那么我们就可以通过连接符执行多条系统命令。

通过连接符&&执行多条命令

修复建议：

过滤用户输入的数据，同时这种调用系统命令的模块能不能最好不用。

测试模块3：Cross Site Request Forgery

简单点说CSRF就是让已经授权的用户代替我们完成我们要做的事情。

1、这里我们首先把他的这个表单复制下来。

2、修改完成的表单，这里注意一下name为Change的，因为后台对他进行了判断，所以不能省略。

3、下面我们通过配合XSS或者社工欺骗管理员打开改页面，页面会一闪而过并显示PassWord Change。

扩展：

这里可能会被管理员发现，但是如果我们通过iframe让他隐藏。具体会在攻击模块Stored Cross Site Scripting (XSS)中讲到，我们会让xss + csrf完美配合。

修复方案：

添加token并验证是现在最常见的修复方式，不过这个的前提是没有XSS，因为如果存在xss那么同样可以通过xss获取token在进行提交。

测试模块4：File Inclusion

服务器通过php的特性（函数）去包含任意文件时，由于要包含的这个文件来源过滤不严，从而可以去包含一个恶意文件，而我们可以构造这个恶意文件来达到邪恶的目的。

1、通过URL我们可以判断可能存在文件包含漏洞（其实这个模块的名字就是文件包含）。

2、测试文件包含漏洞，通过./跨目录成功包含phpinfo。

修复方案：

我们先看一下代码

文件地址：

./DVWA/vulnerabilities/fi/source/low.php

文件地址：

./DVWA/vulnerabilities/fi/index.php部分

可以看到直接获取了通过GET动态获取包含的文件。我们只需要将相对路径改为绝对路径就可以修复，或者我们限制使用./，防止目录跳转。

以上今天要发分享的全部内容，大家看懂了吗？由于原文篇幅较长，我们分了上/下篇，更多知识技能，请关注i春秋公众号~

文章素材来源于i春秋社区

新来的朋友如果想要了解其他的必备技能和实用工具，可以点击菜单栏中的入门锦囊查看相关内容：

猜

你

喜

欢

文末右下角点个“在看”再走哦~

i春秋官方公众号为大家提供

前沿的网络安全技术

简单易懂的实用工具

紧张刺激的安全竞赛

还有网络安全大讲堂

更多技能等你来解锁