DVWA滲透測試環境搭建

DVWA（Damn Vulnerable Web Application）是一個用來進行安全脆弱性鑒定的PHP/MySQL Web應用，旨在為安全專業人員測試自己的專業技能和工具提供合法的環境，幫助web開發者更好的理解web應用安全防范的過程

因為工作需要，最近在學習web安全測試方面的知識，感覺“很難！”、“很專業！”，有點無從下手的感覺，最后決定還是先從web安全測試相關的概念入手，再根據每種類型的漏洞模擬演練一下。網上一番沖浪后，發現了十大滲透測試演練系統：http://www.freebuf.com/sectool/4708.html。嗯，我選擇了安裝第一個DVWA。

下面是安裝DVWA測試環境的步驟

1.准備

centos虛擬機、linux版本xampp安裝包、DVWA安裝包(文末有百度雲盤鏈接)

2.安裝xampp

XAMPP 是一個易於安裝且包含 MySQL、PHP 和 Perl 的 Apache 發行版，而DVWA也是由php編寫的，所以先安裝xampp，然后把dvwa部署在里面

(1)選定一個路徑，把下載好的xampp-linux-x64-7.2.7-0-installer.run放到指定文件夾

[root@localhost xampp]# ls xampp-linux-x64-7.2.7-0-installer.run

(2)賦予該文件可執行權限

[root@localhost xampp]# chmod 777 xampp-linux-x64-7.2.7-0-installer.run

(3)執行該文件進行安裝

[root@localhost xampp]# ./xampp-linux-x64-7.2.7-0-installer.run

安裝過程一直選擇“y”即可

根據提示，XAMPP最終安裝到了 /opt/lampp

(4)啟動xampp服務

[root@localhost lampp]# /opt/lampp/lampp start

在瀏覽器訪問：http://192.XXX.XXX.XXX，出現如下頁面，表示安裝成功

3.安裝DVWA

 (1)把下載好的 DVWA-master.zip 放到 /opt/lampp/htdocs中，然后解壓

[root@localhost htdocs]# unzip DVWA-master.zip
[root@localhost htdocs]# mv DVWA-master DVWA # 重命名文件夾為DVWA

(2)在重啟xampp服務前，需要修改一下DVWA中的配置文件

進入路徑：/opt/lampp/htdocs/DVWA/config，可以看到一個文件：config.inc.php.dist，把它重命名為config.inc.php，或者復制一份並將復制得到的文件命名為config.inc.php

[root@localhost config]# mv config.inc.php.dist config.inc.php # 直接修改文件名字 [root@localhost config]# cp config.inc.php.dist config.inc.php   # 復制一份(建議用這種方式，保留原文件)

打開文件修改下數據庫連接信息

 

完成上述步驟后，重啟xampp服務

[root@localhost config]# /opt/lampp/lampp restart

4.訪問DVWA

在瀏覽器輸入鏈接：http://192.168.XXX.XXX/DVWA

賬號密碼可以用：admin  password

 或者到數據庫查詢一下

[root@localhost bin]# pwd
/opt/lampp/bin # 切換到lampp的bin目錄 [root@localhost bin]# ./mysql # 連接mysql Welcome to the MariaDB monitor. Commands end with ; or \g. Your MariaDB connection id is 6 Server version: 10.1.34-MariaDB Source distribution Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others. Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. MariaDB [(none)]> use dvwa; # 切換至dvwa數據庫(它是dvwa使用的數據庫) Database changed MariaDB [dvwa]> show tables; +----------------+
| Tables_in_dvwa |
+----------------+
| guestbook      |
| users          |
+----------------+
2 rows in set (0.00 sec) MariaDB [dvwa]> select *from users; +---------+------------+-----------+---------+----------------------------------+-----------------------------+---------------------+--------------+
| user_id | first_name | last_name | user    | password                         | avatar                      | last_login          | failed_login |
+---------+------------+-----------+---------+----------------------------------+-----------------------------+---------------------+--------------+
|       1 | admin      | admin     | admin   | 5f4dcc3b5aa765d61d8327deb882cf99 | /hackable/users/admin.jpg   | 2018-07-19 00:10:21 |            0 |
|       2 | Gordon     | Brown     | gordonb | e99a18c428cb38d5f260853678922e03 | /hackable/users/gordonb.jpg | 2018-07-18 22:33:09 |            0 |
|       3 | Hack       | Me        | 1337    | 8d3533d75ae2c3966d7e0d4fcc69216b | /hackable/users/1337.jpg    | 2018-07-18 22:33:09 |            0 |
|       4 | Pablo      | Picasso   | pablo   | 0d107d09f5bbe40cade3de5c71e9e9b7 | /hackable/users/pablo.jpg   | 2018-07-18 22:33:09 |            0 |
|       5 | Bob        | Smith     | smithy  | 5f4dcc3b5aa765d61d8327deb882cf99 | /hackable/users/smithy.jpg  | 2018-07-18 22:33:09 |            0 |
+---------+------------+-----------+---------+----------------------------------+-----------------------------+---------------------+--------------+
5 rows in set (0.01 sec) MariaDB [dvwa]> 

密碼是用md5加密的，可以在網上解密一下(百度md5解密)

登錄dvwa，查看一下

 

---

XAMPP安裝包：鏈接：https://pan.baidu.com/s/1pOG29KCR83GG_8LukE9dbA 密碼：edgf

DVWA安裝包：鏈接：https://pan.baidu.com/s/1NJD3CPKOb5lAHoRFIgYUCw 密碼：lkqs