下载了OWASP BWA(Broken Web Application)的虚拟机,先从DVWA开始练习,无奈第一步登录界面的Username和Password怎么都不是网上所说的admin和password,甚至DVWA的安装说明文档也是错误地给的admin和password。经过一番周折才发现登录界面的Password已经改成了admin,备忘一下。
到BWA靶机中的dvwa的web目录/owaspbwa/owaspbwa-svn/var/www/dvwa下查看login.php,发现登录时php计算密码的md5值,并后台连接mysql数据库。
查看/owaspbwa/owaspbwa-svn/var/www/dvwa/config/config.inc.php配置文件,得知连接mysql的用户名、数据库名及口令均为dvwa
进入mysql数据库:mysql -u dvwa -p。输入dvwa后,连接上mysql,在mysql提示符下输入
use dvwa;
show tables; 看到有users表,接着
select * from users; 可以看到有名为admin的用户,其password为21232f297a57a5a743894a0e4a801fc3,好在这个md5比较简单,google it即可知道是admin的md5值,用python语句hashlib.md5(‘admin‘).hexdigest()也可轻松验证。因此,dvwa登录界面的Username和Password应均为admin.
owaspbwa dvwa的登录口令,布布扣,bubuko.com
原文地址:http://cybersec.blog.51cto.com/1149046/1429397
