DVWA

这周考web渗透与攻防,在复习的过程中对常见的web漏洞进行了梳理与总结。并且发现了一个超好玩儿的靶场——dvwa

在通关的同时,找出最简单的解法。

如何破解impossible。

今天开始了解dvwa。是的,了解,很奇怪吧。

收获如下:

  1. 一些靶场:
    1. http://blog.taddong.com/2011/10/hacking-vulnerable-web-applications.html
    2. https://github.com/webpwnized/mutillidae
  2. 一个工具
    1. https://github.com/google/firing-range(这个工具的用法,下次可以开一篇博客)
  3. 增强了英语阅读能力。
  4. 几个大佬的github:
  5. dvwa的通关攻略:https://blog.csdn.net/weixin_42248871/article/details/127574519

some trouble:

  1. x的账号被封了,好烦。明天要探索一下
  2. 这几天飘了~
  3. 外面下雨了,鞋子又要被打湿喽

指向:

  1. x账号解封( ╯□╰ )
  2. dvwa攻略撰写,明天至少把brute 给搞下来
  3. never forgive。

0706

哦喵喵,为了不每天建一个md,我决定一个项目只写一个md,避免我建365*n的文档😳

吐槽:俗话说人无远虑,必有近忧。实际,有远虑还有近忧。

需要进一步了解的点:

  1. WAF-IDS
  2. OSWAP top 10
  3. robots.txt file
  4. If we take a look at the high security
    level source code for the same vulnerability it should give us some clues as to why
    the low security level is insecure
  5. It could have easily been a complex AJAX script stored on a remote web
    server that stole your session cookies, installed malware onto your computer or
    tricked you into supplying your bank accounts username and password

描述:

yes,one hour today。没有搞下brute。看了pdf。

学到的知识:

  1. 了解了DVWA的配置、用法和示例。

指向:

  1. 一定把brute搞下来,可超时1h

0710评价上面的指向,幼稚

0707Brute force

前言:

今天复习很顺利,做常规任务啦。

0711 Command Injection

如小标题,距离开始7天了。其实也没有很久:small_airplane:,今天开始Command Injection

程序:

  1. 原理
  2. 。尝试攻击
  3. 查看原码
  4. add了哪些
  5. 标注并解释关键函数
  6. 再次攻击
  7. 修缮漏洞,需要加哪些检验/限制/判断
  8. 。最简解法,要点

总指向:

  1. More information的阅读
  2. 尝试用python代码实现工具的功能

<!—>需要什么再去取什么。–>