DVWA靶场搭建

本地搭建DAWA

关于DVWA

DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用

旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。

一共有十个模块:

  • 暴力(破解)
  • 命令行注入
  • 跨站请求伪造
  • 文件包含
  • 文件上传
  • 不安全的验证码
  • SQL注入
  • SQL盲注
  • 弱会话ID
  • XSS漏洞(DOM型跨站脚本、反射型跨站脚本、 存储型跨站脚本)

搭建PHP和Mysql环境

我是直接下载PHP study_pro,phpStudy是一个PHP调试环境的程序集成包,还是很方便的

image-20240723211013067

下载DVWA

下载地址:http://www.dvwa.co.uk/

安装DVWA

  • 将下载的DVWA解压到phpstudy网站根目录下
    例如:我解压后的路径是“D:\phpStudy\WWW\DVWA-master\”。

  • 将 config.inc.php.dist 复制一份或重命令为 config.inc.php;
    例如:我的配置文件路径是“D:\phpStudy\WWW\DVWA-master\config”。

  • 修改 config.inc.php 里代码如下:

1
2
3
4
$_DVWA[ 'db_server' ]   = '127.0.0.1'; #数据库地址
$_DVWA[ 'db_database' ] = 'dvwa'; #数据库名称
$_DVWA[ 'db_user' ] = 'root'; #数据库用户名
$_DVWA[ 'db_password' ] = 'root'; #数据库密码

因为phpstudy默认的mysql数据库地址是“127.0.0.1 或 localhost”,用户名和密码都是”root”

所以主要是修改’db_password‘为root

云服务器搭建DVWA

启动docker

  • 首先启动docker
1
systemctl start docker
  • 搜索dvwa镜像
1
docker search dvwa

image-20240723212913725

可以选这个citizenstig/dvwa

拉取镜像

  • 拉取镜像
1
docker pull citizenstig/dvwa

ps:加个域名加载比较快mirror.bytehack.clubhub.potat0w0.top

image-20240723213232499

当我们镜像拉取完毕之后,就该弄容器了

布置容器

1
2
3
4
5
6
docker images  //查看镜像

docker run --name Dvwa -d -p 8089:80 citizenstig/dvwa //布置容器
-p:指定映射端口
-d:后台运行
--name:容器命名为XXX
  • 在网页上打开dvwa

直接在网页上输入http://xxxx:8000,xxx是你服务器的**外网**ip

然后输入账号:admin密码:password登陆即可

DVWA使用

这边以云服务器部署的靶场为例

创建数据库

  • 打开dvwa之后在左侧的Setup/Redet DB中创建数据库

image-20240723214005117

  • Creat/Reset Datebase

image-20240723214042568

设置Security Level

  • 可以在这边设置程序安全级别

image-20240723214236633

分别有”低、中、高、不可能“,程序安全级别越低,说明越容易被攻破,主要是用来自我挑战不同等级的程序防护级别

  • 可以自己逐渐加大难度