在刚开始学习的时候,就是通过搭建DVWA学习各种漏洞,sql注入,xss,文件上传等等,所以在想到如何搭建一个存在注入的环境时候,脑海中立刻有了这个想法,我们看到的教程往往只会介绍如何通过高中低的安全级别进行漏洞的复现,那为什么不可以通过注入进行getshell呢,所以我立刻搭建了环境准备尝试一下。
STEP 1 准备好需要的文件,在网上都可以免费下载的到
1)Xampp集成环境
2)Dvwa压缩包
STEP 2 点击安装并启动xampp,其中可能在开启apache时会出现错误,此时需要通过修改config文件把端口改成未占用的端口即可,我这里就改为4433 与8081。
把dvwa解压并放到xampp目录下的htdoc目录下
STEP 3 此时环境已经搭建完毕,访问登陆,就可以看到各种各样的漏洞环境。
参考**:**站内及网上有关于搭建环境的详细介绍,如按照上述步骤不能搭建成功,可自行搜索解决问题。
链接:http://www.freebuf.com/sectool/102661.html
漏洞利用—— 手工**篇**
手工注入到getshell思路:
1)判断是否有注入,注入是字符型还是数字型;
2)然后利用sql语句来进行操作磁盘文件(mysql数据库读取磁盘文件是非常简单的,因为mysql提供了load_file()等函数,如果把数据库与网站装在同服务器上,就很容易被写入webshell)。
漏洞利用
STEP 1输入1,查询成功