记录一下在自己搭建的apache+php+mysql网站中部署DVWA靶场
(DVWA是漏洞环境不建议部署在物理机上,会导致物理机被黑)
1、在搭建好的网站环境的MySQL中创建一个数据库dvwa;
2、将dvwa压缩包解压到apache\htdocs目录下;
3、配置DVWA文件下config文件:config.inc.php;
4、浏览器访问DVWA;
5、其他配置;登录;
6、xss漏洞举例。
查看MySQL数据库当前用户:
select user();
更改当前用户的密码:
set password for root@localhost=password('root');
查看当前用户的权限:
show grants for 'root'@'localhost';
可以看出root拥有所有权限all privileges.
查看当前数据库:
show databases;
MySQL里新建数据库名dvwa:(此时的数据库里并没有数据)
create DATABASE dvwa;
下载DVWA压缩包,解压到apache\htdocs目录下,并且修改为以下内容。
复制文件:
修改配置文件:
修改dvwa里的配置文件,去连接我们前面创的空数据库。
这里的root用户和密码是我创建dvwa数据库时使用的用户。
浏览器访问:http://本机IP/DVWA
补充:若php …gd报错:可以进入php的php.ini文件去掉;(分号),并保存,重启apache。
创建数据库:
dvwa数据库创建成功:
登录界面出现:
输入用户名及密码:
admin password
或
1337 charley
密码字段是MD5加密,可用在线工具解密。
可以进行靶场练习了。下面举个例子:
先改等级:为low。
选择xss反射型,在输入框中输入:
<script>alert('xss')</script>
提交:
xss漏洞利用成功如下。