▣ 博主主站地址:微笑涛声 【www.cztcms.cn】
一.DVWA介绍
1、DVWA简介
DVWA
是一款基于PHP
和MYSQL
开发的web靶场
练习平台,集成了常见的web漏洞如sql注入
,XSS
,密码破解
等常见漏洞。旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。
2、DVWA模块
DVWA
共有十个模块:
-
Brute Force(暴力(破解))
-
Command Injection(命令行注入)
-
CSRF(跨站请求伪造)
-
File Inclusion(文件包含)
-
File Upload(文件上传)
-
Insecure CAPTCHA (不安全的验证码)
-
SQL Injection(SQL注入)
-
SQL Injection(Blind)(SQL盲注)
-
XSS(Reflected)(反射型跨站脚本)
-
XSS(Stored)(存储型跨站脚本)
3、DVWA 安全级别
一般情况下,DVWA一共有四种安全级
Low、Medium、High、Impossible
二、DVWA的搭建
# Github项目地址:
https://github.com/digininja/DVWA
可以在很多系统中搭建DVWA
,kali
搭建是最简单的,因为kali
内置了apache
、mysql
、php
环境,不用自己去安装这些基础环境,可以直接拉取github
的项目文件到kali
系统,配置好数据库,启动apache2
即可。以下步骤也是按照官网提示来操作。
Github
项目说明里面也提供了安装教学视频,由于是Youtube
上的视频,可能很多小伙伴都看不了,我下载上传了,有兴趣的可以看看视频(全程英文无字幕)。
# 视频下载地址
https://oss.cztcms.cn/blog/videos/Installing_DVWA_in_Kali_Linux_2.mp4
1、打开kali的终端,使用root权限登录。
先将DVWA
项目克隆到本地,如果有图上的报错,也可以手动下载压缩包,在上传到kali
系统。
git clone https://github.com/digininja/DVWA.git
2、将DVWA解压,放到桌面。
3、将DVWA整个文件夹移动到/var/www/html/
下,这个目录是apache2
网站的根目录,可以使用http://ip/DVWA
访问资源。
mv DVWA /var/www/html/
4、启动apache2
;kali
系统默认不会启动apache2
,需要手动启动。
# 查看启动状态
service apache2 status
# 启动apache2
service apache2 start
5、浏览器访问http://1227.0.0.1
,如果看到下图,证明apache2
启动成功。
6、启动数据库mariadb
,启动方式和apache2
一样。
# 查看启动状态
service mariadb status
# 启动mariadb
service mariadb start
7、登录数据库,直接在终端中输入命令mysql
,第一次登录无需密码。
8、创建DVWA
的数据库,因为数据库用户不能直接使用root
,所以也需要新建一个数据库用户用来管理DVWA库。这里创建的用户名是dvwa
,密码是p@ssw0rd
,和默认配置文件保持一致。
# 创建数据库dvwa
create database dvwa;
# 创建数据库用户dvwa,密码是p@ssw0rd
create user dvwa@localhost identified by 'p@ssw0rd';
# 分配权限,可以远程登录
grant all on dvwa.* to dvwa@localhost;
# 刷新权限
flush privileges;
9、重命名配置文件。
# 到/var/www/html/DVWA目录下
cd /var/www/html/DVWA
# 重命名配置文件
cp config/config.inc.php.dist config/config.inc.php
10、初始化数据库。
浏览器访问http://127.0.0.1/dvwa/setup.php
,点击左下角的Create/Reset Database
进行数据库初始化。
11、数据库初始化完成后会自动跳转到登录页面,输入用户名和密码即可安装完成。
用户名:admin
密码:password