DVWA靶场搭建
DVWA靶场搭建
MooSe本地搭建DAWA
关于DVWA
DVWA(
Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。
一共有十个模块:
- 暴力(破解)
- 命令行注入
- 跨站请求伪造
- 文件包含
- 文件上传
- 不安全的验证码
- SQL注入
- SQL盲注
- 弱会话ID
- XSS漏洞(DOM型跨站脚本、反射型跨站脚本、 存储型跨站脚本)
搭建PHP和Mysql环境
我是直接下载PHP study_pro,phpStudy是一个PHP调试环境的程序集成包,还是很方便的
附上PHP study的官网小皮面板(phpstudy) - 让天下没有难配的服务器环境! (xp.cn)
直接下载安装即可
- 建议安装一下这些套件
下载DVWA
安装DVWA
将下载的DVWA解压到phpstudy网站根目录下
例如:我解压后的路径是“D:\phpStudy\WWW\DVWA-master\”。将 config.inc.php.dist 复制一份或重命令为 config.inc.php;
例如:我的配置文件路径是“D:\phpStudy\WWW\DVWA-master\config”。修改 config.inc.php 里代码如下:
1 | $_DVWA[ 'db_server' ] = '127.0.0.1'; #数据库地址 |
因为phpstudy默认的mysql数据库地址是“127.0.0.1 或 localhost”,用户名和密码都是”root”
所以主要是修改’db_password‘为root
云服务器搭建DVWA
启动docker
- 首先启动docker
1 | systemctl start docker |
- 搜索dvwa镜像
1 | docker search dvwa |
可以选这个citizenstig/dvwa
拉取镜像
- 拉取镜像
1 | docker pull citizenstig/dvwa |
ps:加个域名加载比较快mirror.bytehack.club、hub.potat0w0.top
当我们镜像拉取完毕之后,就该弄容器了
布置容器
1 | docker images //查看镜像 |
- 在网页上打开
dvwa
直接在网页上输入http://xxxx:8000,xxx是你服务器的**外网**ip
然后输入账号:admin密码:password登陆即可
DVWA使用
这边以云服务器部署的靶场为例
创建数据库
- 打开dvwa之后在左侧的
Setup/Redet DB中创建数据库
- Creat/Reset Datebase
设置Security Level
- 可以在这边设置程序安全级别
分别有”低、中、高、不可能“,程序安全级别越低,说明越容易被攻破,主要是用来自我挑战不同等级的程序防护级别
- 可以自己逐渐加大难度
