学习web安全渗透之前,需了解一下刑法,做合法公民!!!
2.1 windows 中搭建wamp
WampServer:是一款由法国人开发的Apache Web服务器、PHP解释器以及MySQL数据库的整合软件包。免去了开发人员将时间花费在繁琐的配置环境过程,从而腾出更多精力去做开发。(PHP作为后台语言、MySQL作为数据库、Apache作为服务器服务)
安装过程:
右击以管理员身份运行
下面是常规操作,安装就行,中间可能有一些权限,点击允许访问就可
出现弹框,默认就好,点击下一步
finish就好
1)如果图标是绿色的,成功!
2)如果是橙色的,原因:wamp自带MySQL服务,也需要开启,3306已经被我们占用了,我们需要把系统的mysql服务停止掉
这里最好改成手动,每次开机就不需要再重新设置了,或者改一个端口号也行,一般在原有的端口号后加一个0.
( 如果还是橙色,可能Apache的端口也被占用了)
访问本地服务:
我们创建的项目都会创建到www目录下
这里可以打开数据库
2.2 下载安装 kali linux
去清华大学镜像站,下载镜像文件,搜索kali 即可,
这里下载的是最新的2020.2.0版本
成功后如下(虚拟机安装的是桌面版):
2.3 搭建DVWA 漏洞环境
1–解压DVWA压缩包,密码:ms08067.com
2–将解压的DVWA-master目录,剪贴到wamp中的www目录下,并重命名为dvwa
3–将dvwa中的config目录下的文件重命名为:
4–使用记事本工具,打开config.inc.php文件,修改配置文件,后保存
5–手动创建一个dvwa数据库
1)直接近命令行,进入MySQL交互模式,create database dvwa;
2)也可以直接使用phpMyAdmin进入网页去创建
6–访问dvwa目录下的 setup.php
7–更改
wamp–php–php setting–allow url include,确保勾选,系统会重启dvwa
自动跳转到了登录界面:
用户名:admin
密码:password
登录成功,进入主页:
2.4搭建SQL注入平台
1–解压
密码同上,选全部是
2–解压后复制到www目录下,并重命名为sql
3–打开网页版phpMyAdmin,新建数据库
4–从文件执行SQL语句
点击选择文件如下:
点击下面的执行
执行结果如下:
5–更改配置信息
访问:
6–重置数据库
2.5 搭建 xss 测试平台
1–解压
密码同上,复制到www目录下
2–打开phpMyAdmin,创建数据库xssplatform
3–修改配置文件
执行一个SQL语句:
UPDATE oc_module set code = replace(code,‘http://xsser.me’,‘http://127.0.0.1/xss’)
4–注册环节
浏览器输入
1)注册准备,进入到
注册:
输入信息后提交注册,成功后进入这个界面:
5–恢复为邀请码注册
注册后将配置文件改为邀请码注册
6–创建伪静态文件 .htaccess
新建一个记事本,写入如下内容:
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteRule ^([0-9a-zA-Z]{6})$ index.php?do=code&urlKey=$1
RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ index.php?do=do&auth=$1&domain=$3
RewriteRule ^register/(.*?)$ index.php?do=register&key=$1
RewriteRule ^register-validate/(.*?)$ index.php?do=register&act=validate&key=$1
RewriteRule ^login$ index.php?do=login
</IfModule>
然后文件另存为
至此测试平台搭建完毕!!!