DVWA环境下的测试

一、基于get请求：

--batch是自动执行，可以不加；

图1测试是否含有注入漏洞，若含有就会出现类似图2的代码

图1 图2

图3是在前面基础的前提下枚举出所有数据库，会出现如图4所示效果

图3 图4

图5选择了图4中的一个名为“dvwa”的数据库，枚举dvwa的表单，如图6枚举出两个表单

图5 图6

同理枚举出表单为users的内容

图7 图8

枚举出列表user和password内的数据即为用户名和密码

图9 图10

---

二、基于post请求：

与基于get请求相比多了一个--data参数，get请求内容在URL内，post请求内容在 request body内，其余内容与第一类似；

data内容的来源，浏览器开发者工具里

三、基于跳转页面

与基于post请求相同，但多了一个second-url参数，是因为输入参数时有个网页跳转的过程