WNMP式DVWA靶场搭建基础操作指南
一、简介
1、前言
- 为了模拟测试SQL注入,重点学习其主要的漏洞攻击原理,需要准备一个可进行渗透的测试环境;
- 然而真实情况下,我们并不能在网站上随意测试,因此需要自行搭建靶场;
- 本次学习主要通过集成开发环境phpstudy快速搭建wnmp式的dvwa靶场,其作为Web 安全学习入门靶场使用。
注意:最好在虚拟机环境下使用。
2、DVWA
- 定义:基于PHP/MySQL环境的非常脆弱的web应用漏洞程序。
- 主要作用:帮助安全专业人员在合法的环境中测试实践他们的技能和工具,帮助web开发人员更好地理解保护web应用程序的过程,以及帮助老师和学生进行教学和练习。
来源链接:https://www.jianshu.com/p/97d874548300
二、操作指南
1、下载、安装phpstudy
下载
- 官网下载地址:https://www.xp.cn/download.html
- 百度网盘自取:https://pan.baidu.com/s/10bFrJcLg_7x32d81TRYzyw?pwd=xmdp 提取码: xmdp
安装
phpstudy安装为傻瓜式安装,自定义下载地址后可直接安装。
注意:
- 安装路径不能包含“中文”或者“空格”,否则会报错 ;
- 保证安装路径是纯净的,安装路径下不能有已安装的V8版本,若重新安装,请选择其它路径。
2、下载、存放DVWA
下载
-
官网下载地址:https://dvwa.co.uk/
-
百度网盘自取:https://pan.baidu.com/s/1QXiUM1js8s64mwY3imxUXg?pwd=uphr 提取码: uphr
存放
将下载好的dvwa解压后放置刚刚已经下载安装后的phpstudy目录下。
3、配置DVMA环境
一键开启wnmp环境
注意:
- 如果之前已经安装过mysql数据库,这里可能会遇到数据库启动不了的问题,亲测可以通过修改端口号解决。
- 具体解决方法可参照:phpStudy解决mysql启动后又自动关闭问题方法
新建dvwa网站
-
自定义域名 :localhost
-
自定义端口号:8282(phpstudy默认为80,为避免冲突,选用不常用端口号)
-
根目录选择为第二步里DVWA存放位置目录
-
php版本小皮默认为最新版本,为避免版本不兼容,最好换为低版本,亲测 php5.6.9 可用。
修改dvwa配置文件 -
做完上述步骤,访问刚刚新建的dvwa网站地址:localhost:8282/,发现出现错误。
-
为解决此问题,需要将dvwa文件目录下配置文件后缀名修改为.php;在此文件下复制后去掉后面的dist即可。
注意:修改完配置文件需重启服务以生效 -
继续访问,按照提示更改错误
-
重置数据库,提示需要修改dvwa配置文件里的数据库使用用户名和密码以与phpstudy里的root数据库连接对应
-
首先需要自定义修改小皮内root数据库密码(我自定义为了123456)以方便修改dvwa配置文件
-
其次修改dvwa对应数据库账号密码,同时根据错误信息3百度搜索密钥,此步骤可解决错误1、3
-
现在再访问dvwa网站,可以通过默认账号密码(admin/password)查看网站首页
-
网站首页界面
-
但是错误2,还未解决
-
错误2,通过提示信息,修改php配置文件
-
配置文件位置
-
添加代码行:
-
重启服务以生效
4、测试登录
再次以默认账号密码或者刷新访问页面,发现dvwa无错误提示信息,靶场基本搭建完毕。