若phpStudy 2016 启动失败的解决办法
DVWA(Damn Vulnerable Web Application)是一个专门为安全测试人员和开发者设计的有意制造漏洞的Web应用程序。它模拟了常见的Web应用程序中的各种漏洞,以帮助安全测试人员了解和学习如何发现和利用这些漏洞。
搭建DVWA靶场是学习和实践Web安全的关键一步。在搭建DVWA靶场之前,我们需要一台已配置好的虚拟机。可以使用VMware Workstation、VirtualBox等虚拟机软件创建一台新的虚拟机。
DVWA部署
搭建靶机DVWA
1、在Win虚拟机安装phpstudy2016
- ⾃解压到C:\phpStudy,然后⾃动启动
2、DVWA是⼀个PHP站点的源码
- 解压DVWA-master.zip到C:\phpStudy\WWW\DWA-master
3、配置DVWA链接数据库
- 右键选择记事本打开configlconfig.inc.php.dist【也可以使⽤其他编辑⼯具打开】,把db_password 修改成 root
- 保存后将config.inc.php.dist改名为config.inc.php
4、在攻击机登录DVWA
5、输⼊⽤户名“admin”和密码“password”,点击“Login”成功登录
部署Burp Suite
Burp Suite
是⽤于攻击
Web
应⽤程序的集成平台,包含了许多⼯具
当
Burp Suite
运⾏后,
Proxy
模块开启默认的
8080
端⼝作为本地代理接⼝
- 通过设置⼀个浏览器使⽤其代理服务器,所有的⽹站流量可以被拦截,查看和修改
Burp Suite
是⼀款商业软件,需要付费使⽤,但
Burp Suite
官⽹有免费的版本(限制功能)可以下载使⽤
安装Burp Suite
在攻击机使⽤
burpsuite_free_windows-x64_v1_7_21.exe
安装,安装完后启动
Burp Suite
,采⽤默认选项即可
![](https://i-blog.csdnimg.cn/blog_migrate/a6b6331ac36397fc6f0f10c37ec1bd7a.png)
![](https://i-blog.csdnimg.cn/blog_migrate/70e6871bfe563dbe90435a5f9540b6b0.png)
![](https://i-blog.csdnimg.cn/blog_migrate/08e991cc0be4b305769e96b22deff01e.png)
![](https://i-blog.csdnimg.cn/blog_migrate/2292fd320a175070d8f87f409a90f853.png)
![](https://i-blog.csdnimg.cn/blog_migrate/3ad249ae83a066b63382406263678e1c.png)
![](https://i-blog.csdnimg.cn/blog_migrate/d3252becb6e42869ff0d860411cf5f37.png)
![](https://i-blog.csdnimg.cn/blog_migrate/8f78b4d1731bc7eee9d477b3432c3282.png)
![](https://i-blog.csdnimg.cn/blog_migrate/3d9927caa39b0318843d5c4d3543b2ed.png)
![](https://i-blog.csdnimg.cn/blog_migrate/c813bb45947f90dfa595d317f74ed7a6.png)
![](https://i-blog.csdnimg.cn/blog_migrate/4973749c38557eafb50af6c806229c37.png)
![](https://i-blog.csdnimg.cn/blog_migrate/a9bc85a5276127d277a2a2901361ffc1.png)
![](https://i-blog.csdnimg.cn/blog_migrate/e519c0ad5a7cc0773fc6bc1b50e92787.png)
![](https://i-blog.csdnimg.cn/blog_migrate/d4030b662e00b3f6e66503c0d7636698.png)
DVWA暴⼒破解
1、设置安全级别为Low
2、点击“Brute Force”,进⼊暴⼒破解测试⻚⾯
3、在攻击机配置⽕狐浏览器代理127.0.0.1,端⼝8080
4、任意输⼊⽤户名和密码登录,例如⽤户名tedu、密码123
5、在Burp Suite的“Proxy”中设置“Intercept is on”,就会拦截到数据,右击后选择菜单“Send to Intruder”,发送数据到lntruder(⼊侵)模块
6、点击“Intruder”标签,然后点击“Positions”标签
![](https://i-blog.csdnimg.cn/blog_migrate/80f5099b733c90bb5f0f493900ac0e34.png)
7、清除所有
8、我们只需要爆破username和password就可以,所以先点击“Clear $”按钮,然后选择”tedu”和”123”,点击“Add $”按钮
9、在Attack type(攻击模式)中选择Cluster bomb(集束炸弹),需要两个字典
10、点击“Payloads”,为参数设置字典。第⼀个参数username,⽤户名⼀般就是root、admin或administrator,将它们依次加⼊
12、第⼆个参数password,我们需要⼀个密码字典。可以从⽹络上下载特定的字典,也可以根据实际情况⾃⼰制作密码字典。这⾥为了⽅便演示,我们采⽤某安全公司放出的最常⽤的⼀个密码清单
在“Payload set”中选择“2”,然后点击“Load...”按钮载⼊密码字典⽂件
13、设置好⽤户名和密码参数后,点击右上⻆的“Start attack”开始爆破
14、找到“Length”数字不同的那⼀个即是破解出来的⽤户名和密码
防御Web暴⼒破解
完全防御暴⼒破解是不可能的,只能是给暴⼒破解增加难度和成本,⼀般有两种⽅法可以使⽤
- 使⽤验证码,增加破解的难度,但可以通过机器学习破解
- 限制登录错误的次数,例如连续输错密码3次就锁定,可以增加破解的时间
DVWA靶场的搭建是学习Web安全的重要一步。通过搭建和使用DVWA靶场,我们可以学习和实践各种常见的Web应用程序漏洞,提高我们的安全测试技能和防御能力。
在使用DVWA靶场进行漏洞测试时,我们要保持谨慎和责任心。确保只在合法授权的环境中进行测试,遵循道德和法律的规定。
此外,除了使用DVWA靶场,我们还可以通过阅读相关的Web安全书籍、参加安全培训课程、积极参与安全社区等方式来增强我们的安全技能。持续学习和练习是成为一名优秀的Web安全测试人员的关键。
希望本文对您搭建DVWA靶场有所帮助。祝您学习愉快,安全测试顺利!