首先你可能会遇见ping一个ip后出现乱码的情况,那就是在DVWA-master\dvwa\includes目录下的到dvwaPage.inc.php文件中设置的字体是utf-8,解决方法把所有的”charset=utf-8”,修改”charset=gb2312”。(真实情况,俺遇见解决了回来改)。
学习命令注入,首先去看high等级的源码。因为你会发现,低级和中级只是使用的符号不一样。如下函数就是过滤的连接符号。所以低级和中级,只要你尝试就会知道他没有过滤哪些符号。
$substitutions = array(
'&' => '',
';' => '',
'| ' => '',
'-' => '',
'$' => '',
'(' => '',
')' => '',
'`' => '',
'||' => '',
);
接下来就是高级,注意看第三个过滤符号,在‘|’ 符号后面有一个空格,所以构造没有空格的连接命令即可。
最后不可能级别的·原因是
stripslashes()去除字符串中的反斜杠,反转义。
CSRF是跨站域请求伪造,加入Anti-CSRFtoken,服务器端对token进行验证,防止黑客利用保存用户验证信息的cookie来伪造请求。
输入数据会根据小数点进行拆分,拆分成四段再组合起来,恶意命令难以入侵。
这些很多你都可以看见,接下来就是课外知识,win与Linux命令学习。
首先是常用命令,win:https://www.cnblogs.com/Renyi-Fan/p/9617402.html https://blog.csdn.net/hking_ustc/article/details/6478510 第二个感觉写的太多太繁重。你需要记忆的就是第一个链接的命令,第二个作为参考资料。
Linux:https://blog.csdn.net/liuwei0376/article/details/88245472 这篇文章写的很详细。
看完这些命令可能你觉得和现象的不一样,但是这是你能进入一个服务器使用的命令,如果你是想看看msf等使用的命令那么就是在后面有,也可以提前给你连接https://www.cnblogs.com/wh4am1/p/7204462.html。我以前收藏的不见了,所以我建议把一些重要的命令写下来。
还有Nmap命令:https://www.cnblogs.com/hongfei/p/3801357.html。
这些都是你学习一个工具就记忆一些命令的,所以一起加油。
