渗透环境搭建
搭建DVWA漏洞环境
DVWA介绍
DVWA是一款开源的渗透测试漏洞练习平台,其中内含XSS、SQL注入、文件上传漏洞、文件包含、CSRF和暴力破解等各个难度的测试环境。
DVWA一共包含十个模块,每个模块的代码都有4种安全等级:Low、Medium、High、Impossible,下面是是个模块的内容
1.Bruce Force //暴力破解
2.Command Injection //命令注入
3.CSRF //跨站请求伪造
4.File Inclusion //文件包含
5.File Upload //文件上传漏洞
6.Insecure CAPTCHA //不安全的验证
7.SQL Injection //sql注入
8.SQL Injection(Blind) //sql注入(盲注)
9.XSS(Reflected) //反射型XSS
10.XSS(Stored) //存储型XSS
安装DVWA
在github上下载DVWA项目,将它放到站点目录下,然后到config目录下修改config.inc.php.dist文件,将以下几处根据自己的情况做修改
1 | $_DVWA = array(); |
修改完成后,将文件名后面的.dist去掉,然后进入通过浏览器进入http://127.0.0.1/DVWA-master/setup.php,单击Create/Reset Database按钮进行安装,安装后使用默认用户名密码admin/password即可进入
搭建sqli-labs注入平台
sqli-labs介绍
sqli-labs是一款学SQL注入的开源平台,共有75种不同类型的注入
安装sqli-labs
在github上下载源码后,打开sql-connections文件夹中的db-creds.inc文件,在下面几处根据自己的情况做修改,
1 |
|
然后在浏览器中打开http://127.0.0.1/sqli-labs-master,点击Setup/reset Database for labs进行安装。当页面出现数据库等创建成功的页面时,就表示安装成功了。
搭建XSS测试平台
介绍
XSS测试平台是测试XSS漏洞获取cookie并接收Web页面的平台,XSS可以做JS所有能做的事,包括但不仅限于窃取cookie、后台文章处理、钓鱼、网页重定向、获取用户信息等,下面使用的是xsser测试平台的源码。
搭建
下载源码后,将它解压到网站目录,打开config.php文件,修改如下部分的代码
1 | $config['dbHost'] = ""; //数据库地址 |
首先在数据库中建立一个专门的库,这里以xsser举例,然后选中这个库,导入文件夹中的xssplatform.sql数据库文件,然后执行
1 | update oc_module SETcode=REPLACE(code,'http://xsser.me','http://localhost/xsserme') |
同时需要修改authtest.php中的网址改为自己的URL。
接下来访问搭建XSS平台的URL,首先注册新用户,然后在oc_user表中修改注册用户的adminLevel为1,再将config.php注册配置中的normal改为invite。
本文作者 : W4rnIn9
原文链接 : http://joner11234.github.io/article/3160b465.html
版权声明 : 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明出处!