DVWA靶场搭建

 若phpStudy 2016 启动失败的解决办法

DVWA（Damn Vulnerable Web Application）是一个专门为安全测试人员和开发者设计的有意制造漏洞的Web应用程序。它模拟了常见的Web应用程序中的各种漏洞，以帮助安全测试人员了解和学习如何发现和利用这些漏洞。

搭建DVWA靶场是学习和实践Web安全的关键一步。在搭建DVWA靶场之前，我们需要一台已配置好的虚拟机。可以使用VMware Workstation、VirtualBox等虚拟机软件创建一台新的虚拟机。

DVWA部署

搭建靶机DVWA

1、在Win虚拟机安装phpstudy2016

• ⾃解压到C:\phpStudy，然后⾃动启动

2、DVWA是⼀个PHP站点的源码

• 解压DVWA-master.zip到C:\phpStudy\WWW\DWA-master

3、配置DVWA链接数据库

• 右键选择记事本打开configlconfig.inc.php.dist【也可以使⽤其他编辑⼯具打开】，把db_password 修改成 root
• 保存后将config.inc.php.dist改名为config.inc.php

 4、在攻击机登录DVWA 

5、输⼊⽤户名“admin”和密码“password”，点击“Login”成功登录

部署Burp Suite

Burp Suite 是⽤于攻击 Web 应⽤程序的集成平台，包含了许多⼯具

当 Burp Suite 运⾏后， Proxy 模块开启默认的 8080 端⼝作为本地代理接⼝

• 通过设置⼀个浏览器使⽤其代理服务器，所有的⽹站流量可以被拦截，查看和修改

Burp Suite 是⼀款商业软件，需要付费使⽤，但 Burp Suite 官⽹有免费的版本（限制功能）可以下载使⽤

安装Burp Suite

在攻击机使⽤ burpsuite_free_windows-x64_v1_7_21.exe 安装，安装完后启动 Burp Suite ，采⽤默认选项即可

DVWA暴⼒破解

1、设置安全级别为Low

2、点击“Brute Force”，进⼊暴⼒破解测试⻚⾯

3、在攻击机配置⽕狐浏览器代理127.0.0.1，端⼝8080

4、任意输⼊⽤户名和密码登录，例如⽤户名tedu、密码123

5、在Burp Suite的“Proxy”中设置“Intercept is on”，就会拦截到数据，右击后选择菜单“Send to Intruder”，发送数据到lntruder（⼊侵）模块

6、点击“Intruder”标签，然后点击“Positions”标签

7、清除所有

8、我们只需要爆破username和password就可以，所以先点击“Clear $”按钮，然后选择”tedu”和”123”，点击“Add $”按钮

9、在Attack type（攻击模式）中选择Cluster bomb（集束炸弹），需要两个字典

10、点击“Payloads”，为参数设置字典。第⼀个参数username，⽤户名⼀般就是root、admin或administrator，将它们依次加⼊

12、第⼆个参数password，我们需要⼀个密码字典。可以从⽹络上下载特定的字典，也可以根据实际情况⾃⼰制作密码字典。这⾥为了⽅便演示，我们采⽤某安全公司放出的最常⽤的⼀个密码清单

在“Payload set”中选择“2”，然后点击“Load...”按钮载⼊密码字典⽂件

13、设置好⽤户名和密码参数后，点击右上⻆的“Start attack”开始爆破

14、找到“Length”数字不同的那⼀个即是破解出来的⽤户名和密码

防御Web暴⼒破解

完全防御暴⼒破解是不可能的，只能是给暴⼒破解增加难度和成本，⼀般有两种⽅法可以使⽤

• 使⽤验证码，增加破解的难度，但可以通过机器学习破解
• 限制登录错误的次数，例如连续输错密码3次就锁定，可以增加破解的时间

DVWA靶场的搭建是学习Web安全的重要一步。通过搭建和使用DVWA靶场，我们可以学习和实践各种常见的Web应用程序漏洞，提高我们的安全测试技能和防御能力。

在使用DVWA靶场进行漏洞测试时，我们要保持谨慎和责任心。确保只在合法授权的环境中进行测试，遵循道德和法律的规定。

此外，除了使用DVWA靶场，我们还可以通过阅读相关的Web安全书籍、参加安全培训课程、积极参与安全社区等方式来增强我们的安全技能。持续学习和练习是成为一名优秀的Web安全测试人员的关键。

希望本文对您搭建DVWA靶场有所帮助。祝您学习愉快，安全测试顺利！