我在练习安全测试。我偶然发现DVWA并开始练习Sql注入。在开始使用SQL注入(盲)之前,我一直做得很好。无论我尝试哪种查询,我都没有得到想要的结果。例如:
1' and 1=0 union select null,table_name from information_schema.tables#
只需返回数据库中存在的用户ID .
我把DVWA安全设置得很低。还要确保应用程序的安装页在安装检查部分下没有错误。
以下为环境详情:
操作系统: Windows
后端数据库: MySQL
PHP版本: 5.6.16
浏览 1提问于2017-08-07得票数 0
1回答
当我尝试打开localhost/dvwa时,我得到的结果是:
Fatal error: Uncaught Error: Call to undefined function mysql_connect() in C:\xampp\htdocs\dvwa\dvwa\includes\dvwaPage.inc.php:461 Stack trace: #0 C:\xampp\htdocs\dvwa\login.php(8): dvwaDatabaseConnect() #1 {main} thrown in C:\xampp\htdocs\dvwa\dvwa\includes\dvwaPage.i
浏览 2提问于2016-01-09得票数 0
3回答
DVWA登录错误
、、
我无法登录我的DVWA。
我在网上找过了,但没有找到答案。数据库已创建,看起来一切正常,但当我想登录时,我收到一条错误消息:
致命错误: MySQLConverterToo修复mysql_escape_string()调用!此代码不起作用。在第11行的/Applications/XAMPP/xamppfiles/htdocs/dvwa/login.php中
我的config.inc.php:
<?php
# If you are having problems connecting to the MySQL database and all of the variables below
浏览 3提问于2016-11-23得票数 4
12回答
数据库DVWA创建中的几个问题
、、、、
我正在尝试建立该死易受攻击的网络应用程序(DVWA) (www.dvwa.co.uk)。
我按照以下指令安装了XAMPP:,我按照以下说明安装了DVWA:
我转到localhost/dvwa并看到:无法连接到数据库。
mysql_error()
我尝试设置数据库,它显示“无法连接到数据库-请检查配置文件”.
/htdocs/dvwa/config/config.inc.php文件显示:
$_DVWA[ 'db_server' ] = 'localhost';
$_DVWA[ 'db_database' ] = 'dvwa';
浏览 2提问于2013-12-01得票数 7
1回答
DVWA数据库连接不工作
、、、
我在连接到dataase时遇到了以下错误:
无法连接到数据库。请检查配置文件。
我尝试过将$_DVWA[ 'db_server' ]更改为'localhost',但这不起作用,我尝试将$_DVWA[ 'db_port ']链接到3306,但这也不起作用。密码是空的。
配置文件如下所示:
<?php
# If you are having problems connecting to the MySQL database and all of the variables below are correct
# try changin
浏览 8提问于2016-12-21得票数 0
1回答
我已经安装了一个带有php模块的本地apache服务器,我在我的localmachinne中部署了一个dvwa。我正在学习XSS(DOM)类型的攻击。我在dvwa.When中设置了低级别的安全性,我在url中添加了<script>alert()</script>,我得到了一个警报。
http://localhost/dvwa/vulnerabilities/xss_d/?default=English<script>alert()</script>
.But,它是通过browser.Is完成的,我可以在从浏览器作为url=完成的url请求中注入警
浏览 0提问于2020-01-19得票数 0
回答已采纳
我正在使用Damn Vulnerable Web App (DVWA),并遵循有关如何执行SQL注入的指南和教程。然而,问题是,考虑到DVWA页面需要首先登录,我认为我更喜欢使用的任何工具都不会起作用。
在不进行身份验证的情况下,每个页面都会将您重定向回/login.php,以便您首先登录。有没有可能以某种方式修改它,使其无论是登录还是注销都能正常工作?
浏览 2提问于2012-07-21得票数 0
我正在尝试使用Apache2和MySQL在DVWA中执行sql注入,这将创建多一个数据库。这一点:2' union select 1,2' create database kala;#--不会给出任何错误,但也不会创建数据库。
DVWA安全设置设置为低。
浏览 0提问于2013-04-29得票数 0
1回答
误差
Fatal error:
Uncaught mysqli_sql_exception:
Unknown database 'dvwa' in C:\xampp\htdocs\dvwa\dvwa\includes\dvwaPage.inc.php:499
Stack trace:
#0 C:\xampp\htdocs\dvwa\dvwa\includes\dvwaPage.inc.php(499): mysqli_query(Object(mysqli), 'USE dvwa')
#1 C:\xampp\htdocs\dvwa\login.php(
浏览 5提问于2022-02-08得票数 0
我无法使用DVWA,apache2在我的kali虚拟机上启动本地服务器。DVWA中显示的错误消息是-
Could not connect to the MySQL service.
Please check the config file.
/etc/mysql/mysql.conf.d/mysqld.conf (要查看所有内容,请回复)的内容是-
[mysqld_safe]
socket = /var/run/mysqld/mysqld.sock
nice = 0
[mysqld]
#
# * Basic Settings
#
feedback
浏览 2提问于2017-03-25得票数 3
我想将Nginx配置为位于web应用程序之前的反向代理( DVWA :该死的易受攻击的web应用程序)。
DVWA在码头内运行,如下所示:
docker run --expose=8080 -d -p 8080:80 -p 3306:3306 -e MYSQL_PASS="xxxxxxx" -e VIRTUAL_HOST=192.168.1.52:8080 docker.io/citizenstig/dvwa
当我打开浏览器并进入192.168.1.52:8080时,一切正常。
一个单独的码头运行方式如下所示:
docker run -d -p 80:80 -v /var/r
浏览 0提问于2017-04-02得票数 0
我试图在Parrot上的Apache2服务器上设置Damn易受攻击的Web应用程序。我已经进入了DVWA设置页面,但是连接到DB有一个问题。DVWA告诉我:
数据库错误#2002:连接被拒绝。
根据此错误,我也不能使用mysql与DB交互:
ERROR 2002 (HY000): Can't connect to local MySQL Server through socket '/var/run/mysqld/mysqld.sock' (2)
一个问题是/var/run/mysqld 不存在。我不知道该怎么办。我试着通过回购安装mysql-服务器,但它似乎在鹦鹉操作
浏览 5提问于2020-06-23得票数 0
我是一名软件开发人员,转换do应用程序安全性,我对SQL注入示例有一些疑问。
下面是一个关于著名的DVWA:http://www.dvwa.co.uk/的教程。
因此,我有以下的疑问(可能相当琐碎)。
我有这个PHP代码定义了查询和执行它的代码:
0 ) {
// Feedback for end user
$html .= 'User ID exists in the database.';
}
else {
// User wasn't found, so the page wasn't!
浏览 0提问于2019-11-10得票数 2
1回答
我想使用nginx运行一个烧瓶应用程序。我已经通过了本教程,直到我使用命令行wsgi启动服务时,一切正常(这意味着我可以在localhost:8000上访问我的页面并显示Hello, there!消息)。我的项目的地点如下:
(venv-dvwa) root@kali:~/services/dvwa# pwd
/root/services/dvwa
(venv-dvwa) root@kali:~/services/dvwa# ls
dvwa.sock main.py __pycache__ requirements.txt uwsgi.ini venv-dvwa wsgi.py
(
浏览 0提问于2018-11-22得票数 0
L尝试在k8s中设置dvwa环境,当l暴露dvwa pod的端口时,l发现它不能正常工作。
我尝试暴露一个nginx样本,以确保我的k8s环境正常工作。是的,nginx在我的本地机器上运行良好。
以下是一些信息
# dvwa.yaml
apiVersion: v1
kind: ReplicationController
metadata:
name: dvwa
spec:
replicas: 2
selector:
app: dvwa
template:
metadata:
labels:
app: dvwa
spec:
浏览 10提问于2019-03-26得票数 0
我正在通过XAMPP在Windows上设置DVWA,我在Google上搜索了大约24小时--我似乎找不到答案。
我的问题是设置服务器:
PHP function `allow_url_include: Disabled`
我的配置文件说它被启用了。这跟我的港口有关吗?我应该设置服务器以便外部访问我的路由器,还是内部IP访问足够了?
在设置我的服务器时,我得到以下信息:
数据库设置
单击下面的“创建/重置数据库”按钮可创建或重置数据库。
如果出现错误,请确保在以下文件中有正确的用户凭据: C:\XAMPP\htdocs\dvwa/config/config.inc.php
安装检查操作系统:
浏览 29提问于2015-12-14得票数 9
1回答
我正在尝试建立该死的易受攻击的Web应用程序(DVWA)。我从apachefriends下载页面为Linux安装了XAMPP。
我试图设置数据库,但它显示“无法连接到数据库-请检查配置文件”。
config.inc.php文件显示:
$_DVWA[ 'db_server' ] = '127.0.0.1';
$_DVWA[ 'db_database' ] = 'dvwa';
$_DVWA[ 'db_user' ] = 'root';
$_DVWA[ 'db_password' ] =
浏览 4提问于2017-01-27得票数 1
1回答
使用gitlab管道,我可以实现以下目标吗? stages:
- run-dvwa # where I launch a web target using image of https://hub.docker.com/r/vulnerables/web-dvwa
- run-selenium # where I launch selenium using image selenium/standalone-firefox:latest
- run-python # where I run some py script to crawl dvwa end poi
浏览 63提问于2021-07-21得票数 2
回答已采纳
1回答
当我在DVWA中学习布鲁特力的时候,我读了“高布鲁特力源”。它在使用stripslaches( $user );函数之前使用mysql_real_escape_string( $user );函数。我知道mysql_real_escape_string()可以转义特殊字符,这样它在SQL语句中是安全的。但我不明白函数stripslaches()。它是否也做了一个安全的SQl语句?
浏览 5提问于2013-11-27得票数 0
回答已采纳
1回答
我试图在kali linux上安装DVWA 1.9。一切运行正常,但当我试图连接数据库时,会发生一个安装错误,显示:
PHP函数allow_url_include:禁用
我已经更改了config.inc.php,也更改了php.ini文件。
我的PHP版本: 5.6.24。
我正在使用XAMPP服务器运行DVWA。
当我做了所有必要的更改时,谁能告诉我为什么我的allow_url_include被禁用了?
**安装检查*
操作系统:*nix
后端数据库: MySQL
PHP版本: 5.6.24
Web SERVER_NAME: 127.0.0.1
PHP函数display_error
浏览 2提问于2016-12-03得票数 0
在给chmod -R 777 dvwa时,我得到以下错误:
root@localhost:/var/www/html # chmod -R 777 dvwa
chmod: cannot access 'dvwa/.git/objects/pack/.l2s.tmp_idx_oywRqJ0001': Operation not permitted
我该怎么办?
浏览 0提问于2020-07-04得票数 -5
我搜索了所有的谷歌,看看如何可能绕过以下(这是从DVWA的高安全级别):
$id = $_GET['id'];
$id = stripslashes($id);
$id = mysql_real_escape_string($id);
if (is_numeric($id)){
$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'";
$result = mysql_query($getid) or di
浏览 1提问于2012-05-30得票数 3
1回答
我想在Kali Linux上安装dvwa,但是我无法安装它。
我已经执行了以下步骤:
我已经将文件夹dvwa移动到/var/www/html/。
但是当我在终端中输入这个命令时
# chmod -R 755 dvwa.
Permission denied.
📷
浏览 0提问于2017-07-13得票数 -6
我正在使用DVWA进行SQL注入,但是由于某种原因,即使当我注释掉额外的'时,服务器仍然会给我一个错误。
例如,下面是我在我的网站上输入的内容:
http://localhost/DVWA/vulnerabilities/sqli/?id=' OR SLEEP(5) AND 'a'='a' /*
但出于某种原因,即使我在使用/*时注释掉了URL中显示的所有额外字符,它仍然给了我一个错误。它一直给我以下错误:
您的SQL语法出现了错误;请检查与MySQL服务器版本相对应的手册,以便在第1行'aaa'='aaa' /
浏览 0提问于2017-01-31得票数 1
回答已采纳
4回答
在DVWA完美运行之后,几天后,该网站显示如下:
而不是:
我试图删除和重新创建SQL数据库,重新下载DVWA文件,检查apache2和DVWA配置文件(附件),但没有发现任何问题。
有人能指出这个问题吗?
/etc/apache2/apache2.conf
# This is the main Apache server configuration file. It contains the
# configuration directives that give the server its instructions.
# See http://httpd.apache.or
浏览 12提问于2016-08-31得票数 1
1回答
有谁知道如何通过提交像http://www.dvwa.co.uk这样的表单输入来公开给定服务器的/etc/passwd来攻击dvwa(Dvwa)?
是否有端点可供选择?
谢谢
浏览 0提问于2019-04-06得票数 0
1回答
我在学习如何使用水龙头,但我发现了一个问题。
当我运行以下脚本时,我会得到一个CSRF令牌错误。显然,问题在于以卷曲方式接收的令牌与在hydra中接收的令牌不同。
按步骤排列的Step:
我已经创建了这个docker-compose.yml文件:
version: '3.8'
services:
web-dvwa:
container_name: dvwa
image: vulnerables/web-dvwa:latest
ports:
- 127.0.0.1:8001:80
之后,我安装了hydra (Hydra v9.5-dev)并
浏览 0提问于2022-12-22得票数 1
回答已采纳
我正在使用sqlmap来利用DVWA项目中的数据库。
然而,在利用了数据库之后,我执行了以下命令来了解用户是dvwa@%:
sqlmap -u "http://192.168.71.130/dvwa/vulnerabilities/sqli/?id=2&Submit=Submit#" -p id --cookie="security=low; PHPSESSID=kikm4b9s9tdk5kq21cs20jt9j1;" --current-user
我试图在表中添加一些内容,并使用以下命令:
sqlmap -u "http://192.168.7
浏览 0提问于2018-04-11得票数 0
回答已采纳
它适用于ubuntu图像。
wolf@linux:~$ docker run -it ubuntu /bin/bash
root@00e6296d31d8:/#
但是,当我尝试使用不同的图像(如vulnerables/web-dvwa )时,它不再起作用了
wolf@linux:~$ docker run -it vulnerables/web-dvwa /bin/bash
[+] Starting mysql...
[ ok ] Starting MariaDB database server: mysqld.
[+] Starting apache
[....] Starting Apa
浏览 0提问于2021-04-03得票数 1
回答已采纳
3回答
在DVWA中,我试图理解与通常的alert('XSS');场景不同的攻击方法。
我使用反射XSS来传递一个有效负载,然后让跟随URL的用户在同一个web应用程序上存储的XSS部分中提交一篇文章。这是我的外部JS代码
var pagech = document.getElementsByTagName('a')[11].click();
var name = document.getElementsByName("txtName")[0].value="helloworld";
var comment = document.ge
浏览 0提问于2016-09-02得票数 3
1回答
因此,我目前正在运行kali linux 4.15.0,我试图运行DVWA (该死的易受攻击的Web应用程序),我试图使用户成为:
MariaDB [(none)]> CREATE USER 'user'@'127.0.0.1' IDENTIFIED BY 'p@ssword';
但它不会改变任何线条
Query OK, 0 rows affected (0.00 sec)
我已经重新启动了mysql和apache2,但是我仍然对如何修复它感到困惑。
浏览 0提问于2018-04-13得票数 -3
1回答
我将从DVWA下载的文件放在/opt/lampp/htdocs中,并将config.inc.php.dist更改为config.inc.php,但是当我打开localhost/DVWA时,会显示如下所示:
此页面无法工作,本地主机目前无法处理此请求。HTTP错误500
浏览 3提问于2022-02-18得票数 0
已在回溯5 r3中安装Xampp。我想通过它来使用Damn Vulnerable Web App。但是在将DVWA文件复制到本地主机(即XAMPP )后,当我尝试通过转到120.0.0.1/dvwa进行访问时,它显示了403错误。
我在DVWA文件夹里找到了一个.htaccess文件。我看到了下面的代码。
<Limit GET POST PUT>
order deny,allow
deny from all
allow from 127.0.0.1
</Limit>
请帮帮忙。
浏览 2提问于2013-07-20得票数 0
回答已采纳
我有一个应用程序,在这个应用程序中,post登录页面容易受到SQL注入的攻击。在浏览器中发布登录后,我通过该易受攻击的页面获取请求,并将数据输入sqlmap。但我得到了以下错误。
[15:45:24] [INFO] testing connection to the target URL sqlmap got a 302 redirect to 'http://localhost:80/dvwa/login.php'. Do you want to follow? [Y/n] Y
[8]+ Stopped sqlmap -u http://localhost/dvwa/vu
浏览 0提问于2017-10-28得票数 1
回答已采纳
我对Kubernetes和NGINX在Microsoft上是新手。我有个关于分析NGINX入侵日志的问题。
下面是我的NGINX进题荚中的日志:
duc@Azure:~$ kubectl logs ducphuongkhang-ingress-nginx-ingress-controller-869b8b966-877bq -n kube-system | grep 'lua'
2018/11/06 16:36:55 [warn] 961#961: *10059 [lua] log.lua:52: {"timestamp":1541522215,"me
浏览 1提问于2018-11-07得票数 1
回答已采纳
2回答
蛮横-强制DVWA登录页面与水力
、、、、
我正在学习如何用一个流行的蛮力工具“九头蛇”来强制网页登录页面。我正在使用Kali (VirtualBox)来完成这个任务。我已经安装了DVWA (该死的易受攻击的Web应用程序),并且我正在本地运行它。
注意:我试图强制/DVWA/login.php (实际的DVWA登录页面)而不是/DVWA/vulnerabilities/brute/ (蛮力挑战)
这是Burp套房的信息
POST /DVWA/login.php HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/2010
浏览 0提问于2018-10-06得票数 1
3回答
你好晚上好,
最近,我尝试提高我的宿命技能,并学习更多关于它的元可绘制2。我正在尝试在DVWA的一些东西。目前,我正在学习Burp的基础知识(更准确地说,我正在尝试更多地了解OWASP前十名)。
但是我在DVWA SQLi部分的SQL注入被卡住了。每当我运行这样的命令时:
1‘或'0'='0’
我被重定向到一页上说:
检测到黑客企图并记录在案。
我试过一些逃避技巧,但都没有用。我做错什么了吗?有人有建议吗?我还尝试了以下步骤:https://computersecuritystudent.com/SECURITY_工具/DVWA/DVWA 107/lesson6 6/i
浏览 0提问于2018-07-24得票数 1
我想使用套接字创建一个HTTP调用到localhost//dvwa/login.php。类似的场景,比如我想要www.google.com,我如何才能指向本地主机/dvwa/login.php?下面是我的代码和错误.I将感谢完整。
import socket
s=socket.socket(socket.AF_INET, socket.SOCK_STREAM)
target ="localhost//dvwa//login.php" #input("Enter URL:")"attack.samsclass.info"
s.connect((ta
浏览 0提问于2017-12-19得票数 0
我在使用最低安全设置的DVWA (非盲)上进行SQL注入。我想列出当前数据库中的表。为此,我尝试输入0';显示表;--在用户ID字段中,如下所示
📷
我希望这将向MySQL发出以下声明
SELECT * FROM users WHERE user_id = '0'; show tables;--'
但是,当我点击submit时,我会得到这个错误。
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the
浏览 0提问于2016-02-28得票数 1
回答已采纳
1回答
我正在尝试使用PhantomJS循环通过几个URL,打开页面并检查是否在任何页面上有一个警报。我还打印了发生警报的页面的URL。
代码如下:
var page = require('webpage');
var u = ["http://127.0.0.1/DVWA-1.0.8/vulnerabilities/xss_r/?name=<SCRIPT>alert('XSS');</SCRIPT>", "http://127.0.0.1/DVWA-1.0.8/vulnerabilities/xss_r/?name=a
浏览 0提问于2014-11-09得票数 1
3回答
我试图登录到该死的易受攻击的Web应用程序,因为我试图编写我的第一个漏洞。但是,第一个障碍是登录页面。如果没有有效的登录,我就无法访问其他目录。
我试图分析哪些标题等,我必须发送,但我仍然无法使登录工作。
POST /dvwa/login.php HTTP/1.1
Host: 192.168.26.129
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 F
浏览 2提问于2018-07-17得票数 1
我想知道modsecurity是否可以防止命令注入和文件包含。我用免费版本测试了modsecurity并运行了dvwa,这是一个易受攻击的页面。但是,即使在apache.conf中包含了modsecurity规则,也可以进行命令注入。请回答我。
浏览 0提问于2017-07-12得票数 2
好的,在以www-data用户帐户登录时,我得到了以下错误:
www-data@server:~/html/poc/storage/app/projects$ /usr/bin/git clone https://github.com/ethicalhack3r/DVWA.git /var/www/html/poc/storage/projects/dvwa
fatal: destination path '/var/www/html/poc/storage/projects/dvwa' already exists and is not an empty directory.
浏览 0提问于2019-03-17得票数 0
回答已采纳
我遵循了几组说明,其中包括一个在线讲座录音,其中显示只需将dvwa文件夹复制到/opt/lampp/htdocs并在启动Xampp服务的浏览器中访问localhost/dvwa即可。我已经尝试过了,但这是我看到的屏幕(而不是提示我登录并设置数据库的DVWA页面)。
问题会是什么呢?以前有没有人遇到过这种情况?在过去的几天里,我已经在这台虚拟计算机和我的windows10主机上重试了这些指令,但还是无法通过,即使是最细微的建议也会令人难以置信地感激。
浏览 1提问于2016-05-31得票数 0
2回答
因此,我目前正在使用DVWA,通过利用本地文件包含的内容,我可以设法将nc.exe二进制文件上传到目标服务器上,并在我的机器上执行一个反向shell。然而,我注意到,一旦获得一个shell,DVWA网站停止响应,所以从技术上讲,这也导致了一个DoS。一旦shell连接结束,网站就会再次做出响应。
有谁知道为什么会发生这种情况,以及如何减轻这种情况?因为在笔试中,这并不是一个理想的场景。
浏览 0提问于2016-06-07得票数 3
我试图理解为什么我在使用OUTFILE命令时一直遇到问题。
我总是犯这样的错误:
ERROR 1 (HY000): Can't create/write to file '/var/www/p1.txt' (Errcode: 13)
SELECT password FROM mysql.user WHERE user='root' INTO OUTFILE '/var/www/p1.txt';
有用的细节:
网络应用程序: DVWA (本地主机)(供学习用)
服务器: Apache/2.2.14 (Ubuntu) - PHP/
浏览 10提问于2013-01-19得票数 9
回答已采纳
我的虚拟机安装了Ubuntu 20.04。在它中,我使用Apache2 web server as a WAF和使用OWASP规则的ModSecurity 2.9.3模块,它正在监听端口80和443。
然后,我安装了XAMPP,以便在其中使用DVWA application。由于XAMPP中的Apache2服务器无法侦听相同的Apache2端口(可能会发生冲突),Apache2服务器正在监听HTTP8012和HTTPS 4431。
我完成了使DVWA请求通过WAF并使用VirtualHosts到达应用程序的过程。现在一切都很好。项目涉及对WAF进行恶意攻击的测试,它适用于大多数攻击,ModSe
浏览 17提问于2022-04-13得票数 0
回答已采纳
1回答
使用超时自动检测盲sql注入攻击
、、、、
我正在开发一个渗透测试工具,我已经介绍了很多基于错误的sql注入,但是我想知道,是否可以使用超时以及内置的sql命令来检测问题呢?在应用程序DVWA中,我尝试了查询。
' OR 1=1; WAITFOR DELAY '00:00:05';#
在sql注入框中,它给了我一个泛型语法错误。然后我尝试
'; sleep(5000); #
同样的错误也失败了。这是我发现的唯一的两种睡眠方法,那么这个攻击在世界上是如何执行的,它是否是一种可靠的方法,可以说,等待20秒,超时15分钟?
浏览 0提问于2013-11-27得票数 0
回答已采纳
import requests
target_url = "http://127.0.0.1/dvwa/login.php"
data_dict = {"csrfmiddlewaretoken": "bbbfeed6e1aea50f14a51a331054022c", "username": "admin", "password": "password", "Login": "Submit"}
response = requests.post(tar
浏览 0提问于2018-11-02得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
