DVWA靶场搭建：DVWA - Damn Vulnerable Web Application

DVWA靶场搭建：
DVWA - Damn Vulnerable Web Application

    

“Damn Vulnerable Web Application (DVWA)”是一个用PHP/MySQL编写的极其脆弱的网络应用程序。其主要目标是帮助安全专业人员测试其技能和工具，在合法环境中帮助网络开发人员更好地理解保护网络应用程序的流程，并帮助学生和教师了解网络应用程序安全性的可控课堂环境。）

DVWA的目标是实践一些最常见的网络漏洞，具有不同程度的难度，以及一个简单的直接界面。请注意，此软件存在有意设置的既有文档化的也有未文档化的漏洞，鼓励您尝试并尽可能多地发现这些问题。

警告！

该“Damn Vulnerable Web Application”极其脆弱，请不要将其上传到您的托管提供者的公共html文件夹或任何面向互联网的服务器上，否则它们将被破坏。建议使用设置为NAT网络模式的虚拟机（例如VirtualBox或VMware）。在客户机中，您可以下载并安装XAMPP作为网络服务器和数据库。

1.下载DVWA：

下载地址：https://github.com/ethicalhack3r/DVWA

下载完成后解压缩：

       Unzip DVWA-master.zip

2.解压缩后安装apache2:

apt install apache2 -y

启动apache2服务，并设置成自启：

# service apache2 start                     

                                                                            

# systemctl start apache2

                                                                            

# systemctl enable apache2

3.启动mariadb:

启动：

# systemctl start mariadb

查看运行状态：                                                                            

# systemctl status mariadb

4.移动解压的文件到/var/www/html 文件夹中

#mv DVWA-master /var/www/html/dvwa

5.浏览器中输入localhost 或者127.0.0.1就可以访问

修改配置文件：

6.复制一个config.inc.php.dist并改名config.inc.php

#cp config.inc.php.dist config.inc.php  

7.然后浏览器就可以访问http://localhost/dvwa/setup.phpDVWA设置页面：

8.根据页面中红色提示修改配置：

#vim /etc/php/8.2/apache2/php.ini

9.找到allow_url_include = off 修改为 on

10.修改完后重启apache2服务

11.安装gd库:

# apt install php-gd   

12.对mysql数据库进行配置：

#vim  /var/www/html/dvwa/config/config.inc.php

13.设置一个用户密码，修改配置文件:

14.更改uploads文件的权限

#cd /var/www/html/dvwa/hackable/

#chmod 777 uploads

15.给config一个777的权限

#cd /var/www/html/dvwa/config

16.数据库设置
要设置数据库，只需单击主菜单中的“设置DVWA”按钮，然后单击“创建/重置数据库”按钮。这将为您创建/重置带有一些数据的数据库。
如果在创建数据库时收到错误，请确保在./config/config.inc.php中输入的数据库凭据是正确的。这个文件不同于config.inc.php.dist示例文件。
变量默认设置为以下值：
$_DVWA[ 'db_user' ] = 'root';

$_DVWA[ 'db_password' ] = 'p@ssw0rd';

$_DVWA[ 'db_database' ] = 'dvwa';
请注意，如果您使用的是MariaDB而不是MySQL（在Kali中默认使用MariaDB），则不能使用数据库root用户，必须创建一个新的数据库用户。要执行此操作，请连接到以root用户身份登录的数据库，然后使用以下命令：
mysql> create database dvwa;
Query OK, 1 row affected (0.00 sec)

mysql> grant all on dvwa.* to dvwa@localhost identified by 'xxx';
Query OK, 0 rows affected, 1 warning (0.01 sec)
mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)

修改完成后点击create/reset Database显示成功并跳转到登录界面

17.登陆界面：

默认账户密码是admin/password，登陆后如下图所示：