Web安全學習筆記之Kali部署DVWA和OWASPBWA

0x0 前言

kali安裝完成，下面要進行實戰操作了，喵~~（OWASPBWA請直接跳到第八部分）

#既然你誠心誠意的問了,我們就大發慈悲的告訴你!
#為了防止世界被破壞！
#為了守護世界的和平!
#貫徹愛與真實的邪惡！
#可愛又迷人的反派角色！
#武藏 小次郎
#我們是穿梭在銀河的火箭隊！
#白洞！白色的明天在等着我們！
#就是這樣~喵~~~

停...停.....停車！

為了維護世界的和平，打靶的話當然是先需要練習，而DVWA就為我們提供了一個能在自己家里打靶的環境，不用到處煽風點火。

好了，進入教程。

 

0x1 獲取dvwa安裝包並解壓

從Github獲取dvwa壓縮包：

wget https://github.com/ethicalhack3r/DVWA/archive/master.zip

 

已經存在本地了

 

 

解壓並釋放到指定文件夾 /var/www/html

unzip -o -d /var/www/html master.zip

 

進入到/var/www/html文件夾，把解壓的文件夾DVWA-master重命名為dvwa

 

重命名

 

 

0x2 賦予dvwa文件夾相應權限

先停止apache2服務，以防萬一，在終端輸入：

service apache2 stop

 

賦予dvwa文件夾相應的755權限，接着在終端中輸入：

chmod -R 755 /var/www/html/dvwa

 

賦予dvwa文件夾內文件相應的755權限，接着在終端中輸入：

cd /var/www/html/dvwa/
chmod 755 hackable/uploads/
chmod 755 external/phpids/0.6/lib/IDS/tmp/phpids_log.txt
chmod 755 config/

 

0x3 配置Mysql數據庫

 Kali2018默認是的MariaDB數據庫，並不是Mysql，不能按照Mysql的配置來不然會報錯

錯誤信息如下：

Could not connect to MySQL service.

Pls. check the config file.

Your database user is root,if you are using MariaDB, this will not work,pls. read the README.md file.

見下圖：

 

開啟MySQL服務，打開終端輸入以下命令：

service mysql start

 

運行如下命令連接 MySQL ，默認是進入MariaDB，

mysql -uroot -p 

需要注意，此時需要輸入的密碼默認是空，不需要填寫，直接Enter跳過即可

 

進入mysql，並將mysql的密碼改為 password

use mysql；
update user set password=PASSWORD('xxxxxx') where User='root'; 

 

接着逐行進行如下命令行操作：

create user dvwa;
grant all on dvwa.* to dvwa@localhost identified by 'password';
flush privileges;
grant all on dvwa.* to 'dvwa'@'%';
flush privileges;

 

0x4 配置PHP

配置PHP，GD支持

apt-get install php-gd

 

 

修改php配置文件

找到 '' /etc/php/7.2/apache2/ '' 文件夾，用文檔編輯器打開 '' php.ini '' 文件

更改如下兩項：

''allow_url_include=Off'' 改為 ''allow_url_include=On''

''display_errors=Off'' 改為 ''display_errors=On''

 

進入到  /var/www/html/dvwa/config 文件夾，把配置模版文件config.inc.php.dist 復制一份 , 並命名為config.inc.php

 

右鍵，用文檔編輯器打開該文件，配置 ‘ReCAPTCHA settings’，將谷】歌生成的keys分別填入如下部分（生成ReCAPTCHA請自行學習）；

ReCAPTCHA需要找谷。歌配置，進入網址 https://www.google.com/recaptcha/admin/create 去生成新的ReCAPTCHA；

谷、歌端配置如下：

01

 02

 

03

繼續修改這個文件，將內部的數據庫鏈接配置修改，根據剛剛的設定，用戶名是dvwa，密碼是password

需要把如下部分改為dvwa和password

'db_user' = 'dvwa';
'db_password' = 'password';

 

0x5 啟動apache2和mysql服務

命令行啟動apache2和mysql服務

service apache2 start
service mysql start

 

 打開kaili的瀏覽器，地址欄輸入 localhost/dvwa，就會跳轉到如下界面：

 

設置界面

 

 

0x6 在DVWA界面配置數據庫

 點擊Create/Reset Database，進行DVWA的數據庫配置

成功界面：

失敗界面：（注意檢查數據庫配置和config文件內的配置）

 

0x7 登陸到DVWA

默認用戶名和密碼是admin/password

成功進入靶場！

 

 

0x8 虛擬機安裝OWASPBWA靶機系統全家桶

OWASPBWA 是個靶機系統全家福，現在這些靶機系統全部被打包放到一個虛擬機鏡像內，請在這里下載（github），解壓后用Vmware和VirtualBox直接打開就行；

然后在瀏覽器的地址欄輸入地址，就能進入靶機網頁端；

 下面已經羅列各種靶機系統，可以盡情實驗了。

 

0x9 總結

整個配置期間會遇到各種問題，可以多多利用搜索引擎查找各方面的問題，涉及的問題有mysql問題，php配置問題等等。

還是不行的話請按照這個視頻來做，需要梯子。