DVWA介紹:
DVWA是一個滲透測試靶機系統。
DVWA具有十個模塊:分別是 Brute Force(暴力破解)、Command Injection(命令行注入)、CSRF(跨站請求偽造)、File Inclusion(文件包含)、File Upload(文件上傳)、Insecure CAPTCHA(不安全的驗證碼)、SQL Injection(SQL注入)、SQL Injection(Blind)(SQL盲注)、XSS(Reflected)(反射型跨站腳本)、SXX(stored)(存儲型跨站腳本)。
DVWA代碼安全級別分為:low、Medium、High、Impossible,難度級別可以自己調節。
DVWA環境搭建:
下載DVWA:
wget https://github.com/ethicalhack3r/DVWA/archive/master.zip
把壓縮包移動到html目錄下
mv master.zip /var/www/html/
解壓
解壓完成刪除安裝包
開始配置環境:
先停掉apache2
給DVWA-master文件夾賦權限
啟動mysql
打開mysql,新建數據庫
完成后exit;退出數據庫
啟動apache
修改配置文件:config.inc.php.dist
修改配置文件名稱:
cp /var/www/html/DVWA-master/config/config.inc.php.dist /var/www/html/DVWA-master/config/config.inc.php
修改前記得備份一下原配置文件。
安裝php-mysql php-pear
瀏覽器打開:
http://127.0.0.1/DVWA-master/setup.php
DVWA啟動成功,但是還有些配置問題,接下來一一解決
PHP function allow_url_include: Disabled
編輯php.ini
路勁為:
修改off為on
重啟apache2,沒有報紅了
如果不成功,繼續修改
PHP module gd: Missing - Only an issue if you want to play with captchas
安裝后還是不行,不過不影響后面應用的正常使用
reCAPTCHA key: Missing
編緝dvwa/config/config.inc.php
配置$_DVWA[ 'recaptcha_public_key' ] = '6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg';
配置$_DVWA[ 'recaptcha_private_key' ] = '6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ';
查找配置文件:
config.inc.php
把key添加進去
或者進這個網站生成新的KEY:
https://www.google.com/recaptcha/admin/create
配置完成后:
下面這個問題,需要把配置文件報紅處改為on
找出配置文件,並修改
我全改了還是不行,不過不影響使用
接下來打開本地dvwa網站,創建數據庫,如果報錯,按照下面的法操作
打開mysql,使用root用戶
再使用mysql,因為剛剛啟用的是MariaDB,KALI中自帶的
設置密碼,創建用戶等信息
配置好后結果如下
啟動apache2
打開網址即可正常打開,默認用戶名密碼:admin/password
