DVWA靶场搭建

DVWA靶场搭建

简介

Damn Vulnerable Web App (DVWA)是一个该死的易受攻击的 PHP/MySQL Web 应用程序。它的主要目标是帮助安全专业人员在法律环境中测试他们的技能和工具，帮助 Web 开发人员更好地了解保护 Web 应用程序的过程，并帮助教师/学生在课堂环境中教授/学习 Web 应用程序安全.

DVWA一共包含十个模块分别是：

1. Bruce Force //暴力破解
2. Command Injection //命令注入
3. CSRF //跨站请求伪造
4. File Inclusion //文件包含
5. File Upload //文件上传漏洞
6. Insecure CAPTCHA //不安全的验证
7. SQL Injection //sql注入
8. SQL Injection（Blind） //sql注入（盲注）
9. XSS（Reflected） //反射型XSS
10. XSS（Stored） //存储型XSS

前期准备

在安装前，需要做一个准备工作，我们先去做一个PHP+Mysql的环境搭建。这里使用phpstudy(前面文章讲过)

下载源码、安装

DVWA也是一个托管在github上的项目，但它有自己的官网：https://dvwa.co.uk/
下载源码包后，解压放置服务器WWW目录下。注意修改其配置文件：

config.inc.php（例如：我的配置文件路径是“C:\phpStudy\PHPTutorial\WWW\DVWA\config”）
将 config.inc.php.dist 复制一份或重命令为 config.inc.php

因为phpstudy默认的mysql数据库地址是“127.0.0.1 或 localhost"，用户名和密码都是"root"。主要是修改’db_password‘为root，这里很重要，修改后自然是需要保存文件的，这个不用说相信大家也能知道。

注意：每次修改文件都要重启phpsthdy

环境配置

1、 设置或重置数据库

浏览器只需要直接打开“http://localhost/dvwa/setup.php”即可！如果有”标红“提示，可能你要打开一些模块或做一些设置，否则有些是不能实验的，例如：文件包含、文件上传漏洞。我是直接点的Creade/Reset Database ,好像并没什么影响，而且后期数据库可以重置

2、登陆

浏览器打开”http://localhost/dvwa/login.php“登陆。默认用户名：admin，默认密码：password；

3、设置程序安全级别

浏览器打开”http://localhost/dvwa/security.php“来做设置，分别有”低、中、高、不可能“，程序安全级别越低，说明越容易被攻破，没有做任何的安全防护。主要是用来自我挑战不同等级的程序防护级别的！