一、简介
DVWA(Damn Vulnerable Web Application)是一个很容易受到攻击的PHP / MySQL Web应用程序,其主要目标是帮助安全专业人员在法律环境中测试他们的技能和工具,帮助Web开发人员更好地了解保护Web应用程序的过程。
二、搭建
我这边采用virtual box安装Kali linux虚拟机,在虚拟机里进行环境的搭建。
1、为方便直接下载已做好的vbox镜像,默认用户名root密码toorhttps://www.offensive-security.com/kali-linux-vm-vmware-virtualbox-image-download/www.offensive-security.com
2、从github上下载DVWA安装包ethicalhack3r/DVWAgithub.com
3、非必要步骤可跳过
添加用户:useradd -s /bin/bash -m 用户名
设置密码 passwd 用户名
查看用户和组等信息 cat /etc/passwd
默认shell类型:/bin/sh 缺点:使用方式键出现[[D^
修改shell:usermod -s /bin/bash username 或 直接修改etc/passwd文件
4、启动SSH并配置端口转发(此步骤主要为了把物理机上的DVWA安装包移动到虚拟机,可用搭建samba服务器或其他方式代替)
启动:service ssh start 或 /etc/init.d/ssh start
重启:service ssh restart
关闭:service ssh stop
状态:service ssh status
5、将下载好的压缩包解压,然后将其复制到 /var/www/html 文件夹
6、赋予dvwa文件夹相应的权限:chmod -R 755 /var/www/html/dvwa
注:chmod是Linux下设置文件权限的命令
chmod [-cfvR] [--help] [--version] mode file...
-R : 对目前目录下的所有文件与子目录进行相同的权限变更
u 表示该文件的拥有者,g 表示与该文件的拥有者属于同一个组(group)其他用户,o 表示其他组的用户
读(r=4),写(w=2),执行(x=1)
7、启动mysql并创建数据库
service mysql start
mysql -u root -p
注:Kali Linux默认的mysql普通用户shell下无法使用root用户名密码登录,可按下图修改:
数据库名称配置对应 /var/www/html/dvwa/config.inc.php.dist,并将config.inc.php.dist去掉.dist后缀。
如下图:配置
注:若不去掉后缀则报错DVWA System error - config file not found. Copy config/config.inc.php.dist to config/config.inc.php and configure to your environment.
8、启动apache2服务:
service apache2 start
打开浏览器,在地址栏中输入 127.0.0.1/dvwa,点击Create/Reset Database,默认用户名为admin,密码为password。安装成功