一、靶场介绍
DVWA 一共包含了十个攻击模块,分别是:
- Brute Force(暴力(破解))
- Command Injection(命令行注入)
- CSRF(跨站请求伪造)
- File Inclusion(文件包含)
- File Upload(文件上传)
- Insecure CAPTCHA (不安全的验证码)
- SQL Injection(SQL注入)
- SQL Injection(Blind)(SQL盲注)
- XSS(Reflected)(反射型跨站脚本)
- XSS(Stored)(存储型跨站脚本)。
包含了 OWASP TOP10 的所有攻击漏洞的练习环境,一站式解决所有 Web 渗透的学习环境。
二、前置准备
1. 环境准备
集成各类环境的小皮面板,官网:
https://www.xp.cn
往下滑,这里可以下载最新的v8.1版本,也可以下载2018版本。(可能2018版更简洁一点)
2.靶场下载
GitHub下载地址:
https://github.com/digininja/DVWA/releases/tag/2.3
云盘下载:点我下载,提取码:S7tq
三、安装步骤
1.配置Phpstudy
打开后的样子
一键启动中点击WNMP,也就是WNMP(Windows、Nginx、MySQL、PHP)环境。会启动Mysql和Nginx。
2.配置数据库
把DVWA拿过来用:【网站】中,点击【创建网站】,设置网站域名为【dvwa】端口设置为【8898】(自己看着设置就行),【根目录】路径为下载的DVWA文件夹即可(双击路径换)
修改数据修改DVWA配置文件,要和小皮中这里的一致,小皮这默认的是root,密码也是root。当然也可以改小皮这里的!
打开 dvwa 文件夹下的 config 文件夹:
D:\xxxx\DVWA\config
注意:这个文件夹中,初始只有【config.inc.php.dist】,需要去掉【.dist】后缀,右键复制一份再修改。
打开 config.inc.php 文件找到图中参数修改:
3.配置DVWA
然后打开网站(地址如下),
显示的地址为:http://dvwa:8898/setup.php ,这里有标红的地方可以通过修改配置文件来变绿:
PHP function allow_url_include: Disabled
这个要在PHP配置文件中修改:
重启刷新就ok了。
还有提示这个【reCAPTCHA key: Missing】:
需要申请key,通用的直接网上找现成的就行,这个也是在DVWA的配置文件中设置的:
$_DVWA[ 'recaptcha_public_key' ] = '6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg';
$_DVWA[ 'recaptcha_private_key' ] = '6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ';
刷新后都是绿的了:
滑到底部,点击创建数据库按钮:
出现Setup successfull,表示ok了:
4.登入DVWA靶场
然后就跳出登入界面:
输入默认账户密码 admin/password就进去了:
忘记密码的时候,可以使用如下地址进行重置,这里也告诉了默认账号密码:
http://xxx/setup.php
至此,整个安装过程到这里就结束啦。
四、参考链接
- GitHub README文档
- 小皮旧版下载和说明文档
- 如何搭建 DVWA 靶场保姆级教程(附链接)
- DVWA 查看默认密码
- 解决DVWA“reCAPTCHA key: Missing”
- 解决使用DVWA忘记密码问题
如能帮你解决问题,请点赞收藏评论,帮助更多的人解决问题,谢谢支持! !
