DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。
一共有十个模块:
暴力(破解)、命令行注入、跨站请求伪造、文件包含、文件上传、不安全的验证码、SQL注入、SQL盲注、弱会话ID、XSS漏洞(DOM型跨站脚本、反射型跨站脚本、 存储型跨站脚本)
适合于早期新人对网络的渗透测试进行学习和练习
如上图是在搭建成功后在kali上的展示图
左侧的英文为环境所部署的靶场 一共是十个模块
本次实验所需要的工具
VWARE 虚拟机 已安装kali的环境系统
需要用到的服务有apache MySQL ,
远程的软件 MobaXterm_Personal_22.1 又可以传文件,又可以粘贴,好用
开启虚拟机后,远程连接kali的虚拟机
开始按安装环境
首先从Github上下载DVWA的环境
git clone https://github.com/digininja/DVWA.git
下载完后进入目录
移动到/var/www/html/dvwa 使用mv命令
mv DVWA /var/www/html/
cd /var/www/html
进入目录打展示目录下单文件
ls
文件已经移动到目录下
即开始对环境的文件进行配置和环境的搭建
第一步的搭建apache2环境
service apache2 status
先查看apache2的环境
显示为未开启
开启命令
service apache2 start
service apache2 status
开启后再次查看状态
看到绿色的字母 active (running)则表示服务已经开启了
尝试ping通本地的主机网页
如果ping 127.0.0.1 已经ping通,则说明环境已经配置成功
配置mariadb 环境
与配置apache2一样 先查看状态 如果没有启动则开启mariadb
service mariadb status
service mariadb start
在终端中登录数据库,第一次登录无需密码
创建DVWA的数据库,因为数据库用户不能直接使用root,所以也需要新建一个数据库用户用来管理DVWA库。这里创建的用户名是dvwa,密码是p@ssw0rd,和默认配置文件保持一致。
# 创建数据库dvwa
create database dvwa;# 创建数据库用户dvwa,密码是p@ssw0rd
create user dvwa@localhost identified by 'p@ssw0rd';# 分配权限,可以远程登录
grant all on dvwa.* to dvwa@localhost;# 刷新权限
flush privileges;
完成后重新配置文件
cd /var/www/html/DVWA
cp config/config.inc.php.dist config/config.inc.php
在kali自带的火狐网页中登录127.0.0.1/dvwa/setup.php
对数据库进行初始化
数据库初始化后会进入登录界面 输入用户名和密码即可 安装完成
用户名:admin 密码:password
之后即可进入到文章首页的状态 就可以开始靶场练习;
扫一扫
1262
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
