前言
DVWA介绍:
在近些年网络安全的高速发展中,初学者已经很难找到一个网站进行渗透了,曾几何时,一个漏洞,一个工具就可以在网上找到很多有漏洞的网站去体验,当然渗透一个未经授权的系统是非法的。因此,为了能够较为真实地学习Web渗透的各种技术,就需要找一个专门用于学习的Web演练平台,人们将这种用于练习渗透的平台称为“靶场”。
DVWA可以进行SQL注入、XSS、CSRF、文件上传等漏洞的演练,由于该系统提供了多个安全演练级别,因此可以逐步地来提高Web渗透的技术。DVWA是一套开源的系统,在练习Web渗透技术的同时,也可以通过阅读源码学习到对于各种漏洞的安全防护编码。
DVWA是由PHP和MySQL开发的,因此首先需要在系统中搭建一个支持PHP的Web服务器。网上有很多支持PHP和MySQL的Web服务器集成环境,比如Wamp、phpStudy等,这里推荐使用phpStudy,该软件支持多个Apache、MySQL、PHP的版本,切换也非常方便。phpStudy直接下载安装即可使用。
准备环境
1.Windows7虚拟机/Windows10本机均可
2.phpstudy(php开发环境_php集成开发环境大全及排行榜-【php中文网免费下载站】)
3.DVWA(https://github.com/digininja/DvWA/archive/master.zip)
注:安装包可前往我主页-->资源 免费获取
安装步骤
当以上的安装包都下载完成之后,就可以开始DVWA靶场的搭建了,过程也是比较简单的
1.安装phpstudy
双击我们下载完成的安装包
运行之后一路下一步,记得存放位置要改到一个可以找的到的位置
安装完成后,我们可以在phpstudy的文件目录找到phpStudy.exe
这个就是phpstudy2018的执行文件了。双击运行
注意:如果此时在点击启动之后,弹出了缺少VC9,VC11运行库,就需要再下载运行库,地址为phpstudy vc9-vc14(32+64位)运行库下载【集合】-php中文网工具下载
按提示下载相应的库双击运行安装即可
2.部署DVWA
我们将下载的DVWA包解压缩即可得到这样一个文件
把这个DVWA-master复制到phpstudy目录下的\PHPTutorial\WWW目录下,重命名为 dvwa (大写也可以,看自己习惯)
进入dvwa的config目录删除 config.inc.php.dist文件的后缀.dist
使其名称为config.inc.php
用记事本编辑该配置文件将我选中的两行的值全部更改为root
记得ctrl+s保存
再次重新启动phpstudy
通过浏览器访问127.0.0.1/dvwa
拉到最下面点击Create/Reset Databse建立数据库
建立成功后会跳转到登录页面,用默认账号密码(admin/password登录即可)
在DVWA Securlty模块可以选择靶场的难度等级
大家可以选择自己想要尝试的模块进行练习
至此,DVWA靶场的搭建到此结束!