目录
0 前言
- 本节内容采用在win2008虚拟机上先部署WAMP环境,再安装DVWA平台的方法。该方法与Docker上运行DVWA容器是两种不同的路线,Docker创建DVWA容器的方法可以参考《Docker上搭建DVWA漏洞环境》。
- 本方法安装的是官方版本,功能比docker版本强大。
1 WAMP环境简介
- WAMP环境:Windows下的Apache+Mysql/MariaDB+Perl/PHP/Python,一组常用来搭建动态网站或者服务器的开源软件,本身都是各自独立的程序,但是因为常被放在一起使用,拥有了越来越高的兼容度,共同组成了一个强大的Web应用程序平台。
- 使用AMP集成软件的优点:
- 可避免由于缺乏AMP的知识,而无法正确设置环境;
- 可快速安装并设置好AMP环境,让我们直接开始真正感兴趣的软件,如xoops;
- 可方便的搭建测试环境,对于测试“是AMP环境问题,还是XOOPS造成的问题”很有帮助,采用排除法即可。
- 主要的WAMP集成环境主要有:
- WampServer
Wamp就是Windows Apache Mysql PHP集成安装环境,即在window下的apache、php和mysql的服务器软件。PHP扩展、Apache模块,开启/关闭鼠标点点就搞定,再也不用亲自去修改配置文件了,WAMP它会去做。再也不用到处询问php的安装问题了,WAMP一切都搞定了,这个软件在win平台上使用的较多。 - XAMPP
XAMPP是一款具有中文说明的功能全面的集成环境,XAMPP并不仅仅针对Windows,而是一个适用于Linux、Windows、Mac OS X 和Solaris 的易于安装的Apache 发行版。软件包中包含Apache 服务器、MySQL、SQLite、PHP、Perl、FileZilla FTP Server、Tomcat等等。默认安装开放了所有功能,安全性有问题,需要进行额外的安全设定。 - AppServ
集成了Apache、PHP、MySQL、phpMyAdmin,较为轻量,版本很久未更新了。
总的来说,以上几种WAMP环境基本上都可以满足初学者配置WAMP环境的需要,像XAMPP和AppServ各种组件比较全,但也会觉得文件组成比较复杂,初学者一下子也看不明白,像Digast Wamp Server由于是全新配置的集成环境,程序文件配置比较严谨,环境程序大小也适中, 而且可以自定义任意目录,系统会自动进行参数配置,特别适合初学者使用。 - phpStudy
phpStudy支持22种组合自由切换。该程序包集成最新的Apache+Nginx+LightTPD+PHP+MySQL+phpMyAdmin+Zend Optimizer+Zend Loader,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境。该程序绿色小巧简易迷你仅有35M,有专门的控制面板。总之学习PHP只需一个包。
- WampServer
2 环境部署过程
2.1 目标
在靶机(win2008R2SP1)上部署WAMP环境,以提供PHP编程及实验需要。
在win2008R2纯净版上无法安装VC14运行库,因此靶机采用win2008R2SP1系统。
2.2 虚拟机安装win2008R2SP1
- 下载系统ISO文件,点击https://msdn.itellyou.cn/平台选择win2008R2SP1进行下载。选择操作系统→选择Windows Server 2008 R2→选择带有ServicePack1→点击详细信息展开→复制链接到迅雷中开始下载。
- 因为学习实践过程中需要用到的系统版本繁多,建议在真实机D盘创建一个文件夹,命名为VM,主要是用来存放我们配置好的虚拟机。在该文件夹下创建子文件夹,命名为win2008R2SP1,用来存放新建的虚拟机。
- 启动VM,点击创建新的虚拟机。
- 选择“典型”来配置Windows系列的系统,点击下一步。
- 选择稍后安装操作系统,下一步。
- 选择windows,并在版本中选择win2008R2,下一步。
- 按系统名称来命名该虚拟机,并选择第二步提及的路径来保存该虚拟机,以方便管理所有虚拟机。
- 有条件建议选大一点的磁盘大小,并选择存储为单个文件,下一步。
- 可以在此时自定义硬件设施,也可以在将来使用过程中再修改,点击完成。
- 设置虚拟机ISO文件来源,点击确定。
- 点击绿色三角形启动该虚拟机,开始系统安装→弹出下图点击下一步→开始安装。
- 选择企业版进行安装→下一步。
- 勾选接受许可,点击下一步。
- 此时是新建虚拟机,选择自定义高级。
- 后续安装后再将磁盘划分为CD两盘,此处先点击下一步。
- 开始漫长的安装过程。
- 首次登录需要设置密码,点击确定。
- 设置2遍密码,点击箭头。弹出提示密码已更新,再次点击确定即可进入系统。
- 弹出以下界面,说明系统已安装完成。
- 其他设置如桌面图标、激活系统、关闭防火墙、禁止自动更新、设置快照等。请参考《虚拟机及常用系统配置步骤》
2.3 安装phpstudy
- 下载phpstudy安装包。进入其官网下载所需版本,本教程下载的是2018版本。
- 虚拟机中打开win2008R2SP1,如果有设置快照则将其还原到最佳状态,将上述下载的安装包复制黏贴到该系统的D盘中。
- 双击运行该软件,先是进行解压,将解压路径修改为C盘下。
- 启动该软件,提示说系统缺少VC9、VC11和VC14的运行库,从该百度网盘下载:https://pan.baidu.com/s/1vkp_lW985sk8oivJHWfUfQ 密码: qxtb
- 将解压后的文件夹复制到虚拟机中,右键以管理员身份安装所需要的运行库。
- 安装过程需要同意许可。
- 退出phpstudy程序,在解压路径下找到启动程序再次打开,不会再弹出缺少VC运行库的错误提示。建议将该程序创建快捷方式到桌面。
- 点击启动按钮,正常启动软件。
- 在 C:\phpStudy\PHPTutorial 中,可以找到各个工具的目录。
2.4 配置MySQL
- 目的:为方便在系统命令行可以直接操作MySQL,需要将MySQL的路径添加到系统变量中。
- 在安装的phpstudy目录下,找到MySQL安装目录,进入bin文件夹下,复制完整路径待用。
C:\phpStudy\PHPTutorial\MySQL\bin
。
- 右键计算机→属性→高级系统设置→高级→环境变量。
- 在系统变量中找到Path→选中→编辑。
- 在该值的最后,先输入英文状态的分号,再黏贴上面复制的MySQL路径。一直点击确定。
- 打开cmd窗口,输入命令mysql -uroot -proot,登录数据库,看看反馈结果以判断是否成功。如下图所示即代表MySQL路径部署成功。
2.5 安装DVWA
- 目的:进行漏洞测试练习。
- 下载:访问官网https://dvwa.co.uk/,在页面下方此处进行点击进行下载。
- 解压文件该压缩包,建议将加压后的文件夹重命名为DVWA,短些将来访问方便。
- 将DVWA文件夹复制黏贴到phpstudy网站的根目录下,也就是WWW文件夹下。(由于该文件夹内我装了其他内容,无需理会)
- 在DVWA\config文件夹下,将config.inc.php.dist复制一份并命名为config.inc.php,打开config.inc.php修改以下参数。
$_DVWA[ 'db_server' ] = '127.0.0.1'; #数据库地址
$_DVWA[ 'db_database' ] = 'dvwa'; #数据库名称
$_DVWA[ 'db_user' ] = 'root'; #数据库用户名
$_DVWA[ 'db_password' ] = 'root'; #数据库密码
2.6 安装Visual Studio Code
- 目的:该工具仅是为了编辑文件方便,可以不安装用记事本编辑也可以。
- 原本想安装notepad++来作为编辑器,搜索时看到该软件在2020年因辱华被封,此处改用Visual Studio Code作为编辑器。
- 进入https://visualstudio.microsoft.com/zh-hans/在以下位置找到适合自己平台的软件安装包。此处选择Windows平台的安装包进行下载安装。
- 右键以管理员方式运行该安装包,弹出以下提示时点击确定。
- 选择同意,点击确定。
- 维持默认安装路径,点击下一步。
- 跨界方式,点击下一步。
- ①将“通过code 打开“操作添加到windows资源管理器文件上下文菜单
②将“通过code 打开”操作添加到windows资源管理器目录上下文菜单
说明:①②勾选上,可以对文件,目录点击鼠标右键,选择使用 VScode 打开。
③将code注册为受支持的文件类型的编辑器
说明:默认使用 VScode 打开诸如 txt,py 等文本类型的文件,一般建议不勾选。
让 VScode 支持的代码文件全部变成 VScode 默认打开,文件图标也会随之更改,很好辨认。
④添加到PATH(重启后生效)
说明:这步骤默认的,勾选上,不用配置环境变量,可以直接使用。
- 开始安装。
- 安装完成后进行汉化,点击此处安装简体中文支持包。
- 中文包安装后点击重启,就可以看到是简体中文界面。
3 环境练习与测试
3.1 编辑批处理文件方便查询ip信息
在桌面新建一个文本文件,命名为ip.bat,右键该文件以code打开,输入以下命令。
ipconfig
pause
双击该文件即可查询本机ip地址。
3.2 编辑批处理文件方便查询本机端口号
在桌面新建一个文本文件,命名为tcp_port.bat,右键该文件以code打开,输入以下命令。
netstat -ano -p tcp
pause
双击该文件即可查询本机开启的tcp端口。
3.3 开启phpstudy并验证
- 启动phpstudy。
- 双击tcp_port.bat。可以看到新增了部分端口。
- 在浏览器输入虚拟机IP地址,访问网页,弹出hello world字样,说明访问成功。
- 点击“其他选项菜单”可以对多种文件进行设置。查看PHP探针。
- 滑动网页最下方,在MySQL数据库处输入默认账号及密码,均为root,点击检测。
- 弹出提示数据库连接正常。
3.4 验证DVWA安装结果
- 在虚拟机中,打开浏览器,输入127.0.0.1/dvwa即可看是访问该漏洞平台。登录账号默认是admin,密码是password。(在出现这个页面前还有一个页面提示哪些功能安装成功哪些安装失败的,重现不了了,有些失败的在后续遇到再补充完善吧。)
- 登录后可以看到以下界面,左侧就是一个个漏洞关卡,在这可以设置难度,共有4个难度。
4 总结
- 掌握虚拟机安装系统的方法;
- 掌握部署WAMP环境的方法;
- 掌握部署DVWA的方法。
参考文献
- 《WAMP百科》