dvwa靶场中的命令执行漏洞利用

         然后我们来看常见的windows指令,这 windows的指令其实你可以去微软的官网你搜一下或者百度搜一下有很多。这里我给大家简单讲几个,首先最常用的比如whoamI查看当前的用户,IPconfig,查看网卡信息,查看IP地址,网关子网、掩码呀等等都是IP,然后就是shutdown -r now,这个叫做关机,就是立即关机,shutdown就是关闭,T是time,时间0代表0秒就是1,0秒钟等待0秒钟你就关机,那就是立刻关机的意思。

然后下面一个是net user,这个是在windows中创建一个新用户的一个命令,我们可以把这里的用户名和密码进行替换,比如说net use张三123456你就可以创建一个用户名为张三、密码为123456的一个新的用户。然后下面是查看文件叫type,type的英文意思叫打印的意思, type去打印个文件,比如说它的桌面上保存一个电子书,你就可以type加上它电子书的名称,就可以把它读取到拿下来,这是常见的cmd命令。那下面我们就来看,在dvwa中,我们怎么去利用? 现在我打开浏览器,打开浏览器之后,大家要点击这个地方,叫做sql命令注入意思就是命令执行。

大家在第一次做的时候,因为dvwa它不仅讲了漏洞的利用,还讲了漏洞的防御。我们首先你第一步要做的事情,就是来到这个 dvwa就是安全安全配置,点击它,把这个安全调为low就是低安全的,就是没有任何防御的,我们先把最简单的给打好,这才能一个关卡一个关卡的去攻击是吧?我们先点漏扫,然后就是提交,再点击sql injection,在这里是不是跟SINE安全老师的截图差不多?

跟我们在路由器里面看到的这个页面是差不多的,就是让你去输入一个地址去ping,我们输入一个IP地址,好,我们很乖,输个IP地址先试一试是吧?先试一试。在这边我们就能够看到ping它的一个结果,那这里可能出现乱码,是因为这个网站它是外国人写的,这网站的默认编码跟我们windows操作系统的编码是不同的,会造成这个乱码,大家不要在意,你看到它执行了就行了。

分享: