搭建DVWA Web滲透測試靶場

文章更新於：2020-04-13
按照慣例，需要的文件附上鏈接放在文首。

文件名：DVWA-1.9-2020.zip
文件大小：1.3 M
文件說明：這個是新版 v1.9 （其實是 v1.10開發版），下面那個文件是1.0版
下載地址：https://ww.lanzous.com/ibbnj7g
SHA256: A9435F97E92EED93D3374FC7BD389F8F3C34CD849C536E19CBF33521AC77B7A7

文件名：DVWA-1.0.zip
文件大小：1.3 M
下載鏈接：https://ww.lanzous.com/ibbni9c
SHA256: 548A17143913D116AB0614F4AB1ACCE10E5A3CD707834801548B9730739EA070

文章目錄

• 一、下載 DVWA 環境源碼
• 1、進入 DVWA 的官網
• 2、點擊之后即可下載如下圖，
• 二、配置 DVWA 環境
• 1、下載之后將其解壓，復制到網站根目錄下
• 2、配置數據庫密碼
• 3、然后瀏覽器訪問 http://localhost/DWWA-master
• 4、修復問題
• 5、修改配置文件
• 6、修改之后重啟 Apache 或 Nginx 生效
• 7、如果出現 reCAPTCHA:Missing 字樣
• 8、創建數據庫
• 9、如果數據庫軟件沒打開，會出現無法連接提示
• 10、創建數據庫成功
• 11、補充：關於 php 的版本問題
• 三、登錄使用靶場
• 1、使用默認賬號密碼登錄
• 2、進入主頁面
• 3、查看題目源代碼
• 4、查看題目幫助
• 5、設置題目難度級別
• 6、重置數據庫
• 7、修復中文亂碼問題
• 9、驗證亂碼問題
• 四、Enjoy！！

一、下載 DVWA 環境源碼

DVWA 基於web 服務器環境的，關於如何搭建 web 服務器，各位煤老板看一下文末的鏈接。

1、進入 DVWA 的官網

官網 http://www.dvwa.co.uk/ 頁面拉到最下面有下載按鈕（鏈接到GitHub）。
或直接使用文首鏈接。

官方v1.0版下載鏈接：https://codeload.github.com/ethicalhack3r/DVWA/zip/master
官方v1.9版下載地址：https://codeload.github.com/ethicalhack3r/DVWA/zip/v1.9

2、點擊之后即可下載如下圖，

二、配置 DVWA 環境

1、下載之后將其解壓，復制到網站根目錄下

2、配置數據庫密碼

先將 //www/DVWA-master/configure/ 中的 configure.inc.php.disc 去掉 .disc 后綴或拷貝一份去掉后綴
然后將 configure/configure.inc.php 文件中的數據庫信息修改為如下圖（也就是配置數據庫密碼）：

3、然后瀏覽器訪問 http://localhost/DWWA-master

4、修復問題

如果頁面中出現紅字，說明有一些問題，比如：

5、修改配置文件

如出現 PHP function allow_url_include: Disabled 需要修改php配置文件的 php.ini
將php安裝路徑下php的配置文件 php.ini 中 allow_url_include 值改為on

注1：是你安裝的php目錄下的php.ini 不是你DVWA目錄下的。
注2：Linux 修改之后需要重啟 php以生效。

6、修改之后重啟 Apache 或 Nginx 生效

7、如果出現 reCAPTCHA:Missing 字樣

需要在 configure/configure.inc.php中配置兩個量

配置$_DVWA[ 'recaptcha_public_key' ] = '6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg';
配置$_DVWA[ 'recaptcha_private_key' ] = '6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ';
然后刷新頁面即可。

8、創建數據庫

9、如果數據庫軟件沒打開，會出現無法連接提示

10、創建數據庫成功

11、補充：關於 php 的版本問題

如果你 dvwa 使用的是 v1.0 的源碼，可能會有因為 php 創建數據庫失敗的可能。

在上述版本中，源碼使用的是 mysql 函數來連接數據庫，而在php 高版本比如 7.0 中則廢棄了這一語法改用 mysqli。
所以如果你點擊創建數據庫沒有反應或者白屏，你可以檢查你的 web 服務器錯誤日志，如果是說調用了未定義的函數則是此原因。

解決辦法：
1、改用低版本 php 比如 5.x
2、使用最新的源碼（去 Github上下載，不到 2 MB）。
3、使用最新的源碼，文首藍奏鏈。

三、登錄使用靶場

1、使用默認賬號密碼登錄

數據庫創建成功以后會自動跳轉登錄頁面，有五個默認賬號密碼，選一組登錄即可。

2、進入主頁面

登錄之后如圖所示，左邊是靶場漏洞的菜單，點擊之后右邊會顯示相應的環境：

3、查看題目源代碼

4、查看題目幫助

5、設置題目難度級別

6、重置數據庫

7、修復中文亂碼問題

如果出現中文亂碼問題，可修改配置文件中的編碼方式

中文亂碼問題：DVWA -> dvwa -> includes，找到 dvwaPage.inc.php 文件將所有的utf-8 改為 gb2312 或 GBK 即可

9、驗證亂碼問題

再次查看的時候，已經沒有亂碼問題。

四、Enjoy！！

注：
1、搭建 web 環境參見： Windows&linux使用集成環境搭建 web 服務器
2、搭建 sqli SQL注入環境參見： 搭建 sqli SQL注入練習靶場
3、web 方向 CTF 參見： Wirte-up：攻防世界Web解題過程新手區01-06