小白运维/网安自学记录(Web安全基础与WAF)

📅 2026/7/5 2:48:50
小白运维/网安自学记录(Web安全基础与WAF)
DVWA的下载及使用下载docker并通过docker拉取DVWA测试需要sudo apt -y install apt-transport-https ca-certificates curl #先下载所需要的前置依赖我这边是在Ubuntu中下载的如果是不同系统的话所需要的命令也不全相同#下载并导入docker的GPG密钥 curl -fsSL https://mirrors.aliyun.com/docker-ce/linux/ubuntu/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg添加docker的apt软件源#添加docker的apt软件源 echo deb [archamd64 signed-by/usr/share/keyrings/docker-archive-keyring.gpg] https://mirrors.aliyun.com/docker-ce/linux/ubuntu $(lsb_release -cs) stable | sudo tee /etc/apt/sources.list.d/docker.list /dev/null然后直接下载即可sudo apt update sudo apt install docker-ce -y检测是否下载完成通过docker拉取dvwa镜像docker pull vulnerables/web-dvwa:latest #如果拉取失败需要去/etc/docker/daemon.json文件里面增加代理通过其他网站下载拉取完成后查看创建并启动dvwa靶场也可以通过ID来指定创建的镜像创建完成后在任意可以与Ubuntu连通的浏览器中输入对应IP即可进入到dvwa界面账密adminpassword初始化并登录进来后先查看dvwa网站等级是否为Low低等级更方便我们进行测试可以简单的测试一下SQL注入并理解原理在DVWA的SQL Injection模块中代码原本想查询用户信息SQL语句可能是这样的SELECT first_name, last_name FROM users WHERE user_id $id;正常情况下你输入1查询就变成了SELECT first_name, last_name FROM users WHERE user_id 1;这只返回ID为1的用户信息。攻击发生当你输入 or 11时拼接到SQL语句后变成了SELECT first_name, last_name FROM users WHERE user_id or 11;就会显示全部用户数据通过输入简单脚本测试出网站存在XSS反射漏洞scriptalert(kali)/script下面来测试文件上传漏洞我们需要提前准备一个一句话木马文件?php eval($_GET[cmd]); ? #另存为php文件然后通过上传我们刚刚准备好的php文件后我们打开指定的网页当我们跳转后看到的是一片白色的界面这很正常因为一句话木马中需要我们手动通过get请求指定命令如图所示我们的文件漏洞测试也成功了到此我们的基本漏洞测试就先到这雷池WAF安装及使用下面我们来安装并练习使用WAF通过官网中给出的一键安装脚本sudo bash -c $(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/manager.sh)可以看到自动安装后会给出账密我们在浏览器中登录安装完WAF后我们将DVWA网站加入防护列表中测试实际效果上游服务器也就是我们原本实际访问的网址上面的端口才是经过WAF防护后的网址在新增网站防护后我们再在原本的Low等级的DVWA靶场中提交一个简单的SQL注入或者提交一个恶意文件文件上传漏洞网页就会跳转到此时再回到雷池的后台系统这边便可以看到攻击日志了