目录一、简介二、下载链接三、dvwa配置一、简介DVWA（DamnVulnerableWebApplication）一个用来进行安全脆弱性鉴定的PHP/MySQLWeb应用平台，旨在为网络安全专业人员测试自己的专业技能和工具提供合法的环境，帮助web开发者更好的理解web应用安全防范的过程。DVWA还可以手动调整靶机源码的安全级别，分别为Low，Medium，High，Impossible，级别越高，安全防护越严格，渗透难度越大。1.暴力破解（BruteForce）利用密码字典，使用穷举法猜解出用户口令2.命令行注入（CommandInjection）指通过提交恶意构造的参数破坏命令语句结构，

首先选择难度，我们从low开始，如上图所示进行修改 目录SQL手工注入过程：lowMediumhighImpossible  SQL盲注过程：SQL工具注入工具安装过程：过程： lowMediumHigh:暴力破解过程：LowMediumHighImpossible命令注入过程：LowMediumHigh:Impossible文件上传过程：LowMediumHighImpossibleXSS漏洞过程：Low（反射型）MediumHigh ImpossibleLow（存储型）MediumHighImpossibleLow（DOM型）HighImpossible文件包含漏洞过程：LowMedium

首先选择难度，我们从low开始，如上图所示进行修改 目录SQL手工注入过程：lowMediumhighImpossible  SQL盲注过程：SQL工具注入工具安装过程：过程： lowMediumHigh:暴力破解过程：LowMediumHighImpossible命令注入过程：LowMediumHigh:Impossible文件上传过程：LowMediumHighImpossibleXSS漏洞过程：Low（反射型）MediumHigh ImpossibleLow（存储型）MediumHighImpossibleLow（DOM型）HighImpossible文件包含漏洞过程：LowMedium

文章目录BruteForceLowMediumCommandInjectionLowMediumHighCSRFLowMediumHighFileInclusionLowMediumHighFileUploadLowMediumHighSQLInjection（手工）LowMediumHighSQLInjection(工具)LowMediumHighSQLInjection(Blind)Low布尔盲注时间盲注XSS(DOM)LowMediumHighXSS（Reflected）LowMediumHighxss(Stored)LowMediumHighBruteForceLow随意输入打开bp进

文章目录BruteForceLowMediumCommandInjectionLowMediumHighCSRFLowMediumHighFileInclusionLowMediumHighFileUploadLowMediumHighSQLInjection（手工）LowMediumHighSQLInjection(工具)LowMediumHighSQLInjection(Blind)Low布尔盲注时间盲注XSS(DOM)LowMediumHighXSS（Reflected）LowMediumHighxss(Stored)LowMediumHighBruteForceLow随意输入打开bp进

「作者简介」：CSDNtop100、阿里云博客专家、华为云享专家、网络安全领域优质创作者「推荐专栏」：对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》XSSReflected一、Low级别二、Medium级别三、High级别这一关的功能是：把用户输入的名字在页面显示出来。用户输入内容后，点击提交，把输入的内容赋值给参数name，使用Get请求传递给后端，后台处理后，在页面输出用户输入的内容。一、Low级别低级别没有过滤，直接提交JS代码即可，payload:script>alert('就TM你叫韩毅啊')/script>在输入框中输入payload，点submit提交弹窗就算过关二、

「作者简介」：CSDNtop100、阿里云博客专家、华为云享专家、网络安全领域优质创作者「推荐专栏」：对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》XSSReflected一、Low级别二、Medium级别三、High级别这一关的功能是：把用户输入的名字在页面显示出来。用户输入内容后，点击提交，把输入的内容赋值给参数name，使用Get请求传递给后端，后台处理后，在页面输出用户输入的内容。一、Low级别低级别没有过滤，直接提交JS代码即可，payload:script>alert('就TM你叫韩毅啊')/script>在输入框中输入payload，点submit提交弹窗就算过关二、

昨天安装了kali，而攻击他人系统是违法行为，所以现在我们自己搭建一个应用靶场供后续练习，这里选择搭建DVWA。一、phpstudy环境1.下载搭建环境，phpstudy链接：https://www.xp.cn/download.html，这里我们下载界面比较友好的2018版本。2.下载完成点击安装，选择好安装路径之后一路默认下一步。安装完成后找到你的安装路径，找到“phpStudy.exe”程序点击运行，弹出程序界面。3.弹出程序界面后点击启动。4.打开浏览器，浏览器中输入127.0.0.1，回车，出现“helloword”字样则phpstudy安装成功。二、搭建DVWA5.下载DVWA软件

昨天安装了kali，而攻击他人系统是违法行为，所以现在我们自己搭建一个应用靶场供后续练习，这里选择搭建DVWA。一、phpstudy环境1.下载搭建环境，phpstudy链接：https://www.xp.cn/download.html，这里我们下载界面比较友好的2018版本。2.下载完成点击安装，选择好安装路径之后一路默认下一步。安装完成后找到你的安装路径，找到“phpStudy.exe”程序点击运行，弹出程序界面。3.弹出程序界面后点击启动。4.打开浏览器，浏览器中输入127.0.0.1，回车，出现“helloword”字样则phpstudy安装成功。二、搭建DVWA5.下载DVWA软件

CommandInjection命令注入一、什么是命令注入命令注入是指由于嵌入式应用程序或者web应用程序对用户提交的数据过滤不严格，导致黑客可以通过构造特殊命令字符串的方式，将数据提交至应用程序中，并利用该方式执行外部程序或系统命令实施攻击，非法获取数据或者网络资源等。原理：web应用在调用这些函数执行系统命令的时候，在没有做好过滤用户输入的情况下，如果用户将自己的输入作为系统命令的参数拼接到命令行中，就会造成命令注（命令执行）的漏洞。##二、命令注入相关的特殊字符;前后命令依次执行注意前后顺序，若更变目录，则必须在“一句”指令内||前命令执行失败后才执行后命令-&&前命令执行成功后才执行后