0x01:DVWA簡介(來自官方文檔翻譯):
該死的漏洞的Web應用
該死脆弱的Web應用程序(DVWA)是一個PHP / MySQL的Web應用程序,該死的脆弱。其主要目標是幫助安全專業人員在法律環境中測試他們的技能和工具,幫助Web開發人員更好地瞭解保護Web應用程序的過程,並幫助學生和教師瞭解受控類中的Web應用程序安全性房間環境。
DVWA的目的是實現一些最常見的Web漏洞,具有各種難度級別,具有簡單直接的界面。
請注意,此軟件有記錄和未記錄的漏洞。這是故意的。我們鼓勵您嘗試儘可能多地發現問題。
DVWA是包含OWASP排名前十的漏洞,來幫助入門安全的小白進行學習的靶場。
0x02:部署過程
1:下載phpstudy或者xampp。
PHPstudy
XAMPP官方鏈接
下載完成之後開啓服務,訪問本地:http:127.0.0.1
看是否能正常運行。
可能出現的問題:
1:沒有VC運行庫:
32位VC下載地址
64位VC下載地址
2:下載,部署DVWA
DVWA下載
下載解壓之後放到phpstudy下的WWW文件夾中。xampp同理。
同時進行設置mysql的密碼,默認密碼爲:root
修改完畢之後訪問DVWA/config/config.inc.php.dist
將config.inc.php.dist重命名爲config.inc.php並且修改文件其中內容:db_password修改爲剛纔重設的密碼。
然後啓動php服務,訪問:127.0.0.1/DVWA
登入,默認賬戶爲:admin密碼爲:password
可能出現的問題:
1:訪問127.0.0.1/DVWA 不成功,並且顯示鏈接不到mysql數據庫(allow_url_include:已禁用)
解決方案:
編輯 dvwa/config/config.inc.php這個配置文件
$_DVWA[ ‘recaptcha_public_key’ ] = ‘’;
$_DVWA[ ‘recaptcha_private_key’ ] = ‘’;
key值手動添加兩個:
Site key:
6LdJJlUUAAAAAH1Q6cTpZRQ2Ah8VpyzhnffD0mBb
Secret key:
6LdJJlUUAAAAAM2a3HrgzLczqdYp4g05EqDs-W4K
之後修改配置文件:C:\xampp\php\php.ini(文件路徑不一定都相同,自己去找找自己的路徑)
找到:allow_url_include=Off
修改爲:allow_url_include=On
訪問DVWA錯誤頁面翻譯一下,裏面會給出應該修改的配置,都在文件中,按照配置來。
如果按照上面方法設置完成,也不會報錯,卻依舊鏈接不上mysql,那直接把之前修改的mysql密碼配置文件寫成root,因爲你根本沒修改密碼成功。
0x03:之後的使用
DVWA部署成功之後就可以開始了使用了操作還是蠻簡單的,至於這部分,我還開始體驗,過兩天在補上。。(:溜了