DVWA渗透测试系列 一 (DVWA环境配置)
DVWA介绍:
DVWA是一个渗透测试靶机系统。
SRE实战 互联网时代守护先锋,助力企业售后服务体系运筹帷幄!一键直达领取阿里云限量特价优惠。DVWA具有十个模块:分别是 Brute Force(暴力破解)、Command Injection(命令行注入)、CSRF(跨站请求伪造)、File Inclusion(文件包含)、File Upload(文件上传)、Insecure CAPTCHA(不安全的验证码)、SQL Injection(SQL注入)、SQL Injection(Blind)(SQL盲注)、XSS(Reflected)(反射型跨站脚本)、SXX(stored)(存储型跨站脚本)。
DVWA代码安全级别分为:low、Medium、High、Impossible,难度级别可以自己调节。
DVWA环境搭建:
下载DVWA:
wget https://github.com/ethicalhack3r/DVWA/archive/master.zip
把压缩包移动到html目录下
mv master.zip /var/www/html/
解压
解压完成删除安装包
开始配置环境:
先停掉apache2
给DVWA-master文件夹赋权限
启动mysql
打开mysql,新建数据库
完成后exit;退出数据库
启动apache
修改配置文件:config.inc.php.dist
修改配置文件名称:
cp /var/www/html/DVWA-master/config/config.inc.php.dist /var/www/html/DVWA-master/config/config.inc.php
修改前记得备份一下原配置文件。
安装php-mysql php-pear
浏览器打开:
http://127.0.0.1/DVWA-master/setup.php
DVWA启动成功,但是还有些配置问题,接下来一一解决
PHP function allow_url_include: Disabled
编辑php.ini
路劲为:
修改off为on
重启apache2,没有报红了
如果不成功,继续修改
PHP module gd: Missing - Only an issue if you want to play with captchas
安装后还是不行,不过不影响后面应用的正常使用
reCAPTCHA key: Missing
编缉dvwa/config/config.inc.php
配置$_DVWA[ 'recaptcha_public_key' ] = '6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg';
配置$_DVWA[ 'recaptcha_private_key' ] = '6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ';
查找配置文件:
config.inc.php
把key添加进去
或者进这个网站生成新的KEY:
https://www.google.com/recaptcha/admin/create
配置完成后:
下面这个问题,需要把配置文件报红处改为on
找出配置文件,并修改
我全改了还是不行,不过不影响使用
接下来打开本地dvwa网站,创建数据库,如果报错,按照下面的法操作
打开mysql,使用root用户
再使用mysql,因为刚刚启用的是MariaDB,KALI中自带的
设置密码,创建用户等信息
配置好后结果如下
启动apache2
打开网址即可正常打开,默认用户名密码:admin/password
