dvwa安装教程与配置DVWA 简介及安装

2022-07-20 21:30:24 网络知识 官方管理员

145|0条评论

学习渗透测试，特别是Web渗透，最头疼的无疑就是寻找靶机环境，通常是不同的漏洞需要找不同的靶机源码，而不同的源码通常Web架构又不一样，所以要找到一套能够练习所有Web渗透技巧的靶机环境，经常需要搭建N个Web站点，无疑大大提高了学习的入门门槛。

4.1DVWA简介

DVWA（DamnVulnerableWebApplication）是一个用来进行安全脆弱性鉴定的PHP/MySQLWeb应用，旨在为安全专业人员测试自己的专业技能和工具提供合法的环境，帮助web开发者更好的理解web应用安全防范的过程。

DVWA一共包含了十个攻击模块，分别是：BruteForce（暴力（破解））、CommandInjection（命令行注入）、CSRF（跨站请求伪造）、-FileInclusion（文件包含）、FileUpload（文件上传）、InsecureCAPTCHA（不安全的验证码）、SQLInjection（SQL注入）、SQLInjection（Blind）（SQL盲注）、XSS（Reflected）（反射型跨站脚本）、XSS（Stored）（存储型跨站脚本）。包含了OWASPTOP10的所有攻击漏洞的练习环境，一站式解决所有Web渗透的学习环境。

另外，DVWA还可以手动调整靶机源码的安全级别，分别为Low，Medium，High，Impossible，级别越高，安全防护越严格，渗透难度越大。一般Low级别基本没有做防护或者只是最简单的防护，很容易就能够渗透成功；而Medium会使用到一些非常粗糙的防护，需要使用者懂得如何去绕过防护措施；High级别的防护则会大大提高防护级别，一般High级别的防护需要经验非常丰富才能成功渗透；最后Impossible基本是不可能渗透成功的，所以Impossible的源码一般可以被参考作为生产环境Web防护的最佳手段

4.2DVWA安装

上文提到，DVWA是PHP/MySQL的源码环境，所以需要准备PHP和MySQL的运行环境。PHPStudy是一个PHP调试环境的程序集成包。该程序包集成最新的LAMP和WAMP架构，一次性安装，无须配置即可使用，是非常方便、好用的PHP调试环境。该软件提供Windows和Linux的版本，我们这里的演示环境为WindowsServer2008R2X64，所以下载Windows版本。下面演示如何安装DVWA，我们使用的DVWA版本是目前最新的DVWA1.9

安装环境所需工具下载地址：
-PHPStudy：http://phpstudy.php.cn/download.html
-DVWA：https://github.com/ethicalhack3r/DVWA/archive/master.zip

4.2.1安装PHPStudy

步骤1：运行安装程序，选择安装目录，建议选择非C盘，我们这里选择D:\phpstudy，如图4-1

图4-1

步骤2：等待解压完成，PHPStudy会自动运行。如果出现如图4-2所示报错，则需要安装VC11、VC14的运行库

图4-2

步骤3：点击确定，自动弹出VC运行库的下载页面，如图4-3，发现只有PHP5.5、PHP5.6、PHP7.0、PHP7.1才需要安装VC11和VC14，我们的DVWA推荐运行环境使用默认的PHP5.4.45就行，该环境只需VC9，我们的操作系统已经内置了，所以可以无需下载，直接运行

图4-3

步骤4：点击启动按钮，直到显示Apache和MySQL都已经启动，则PHPStudy安装成功，如图4-4

图4-4

4.2.2安装DVWA

步骤1：解压下载的DVWA-master.zip，为方便后期访问，把解压的文件夹改名为DVWA，把该文件夹复制到PHPStudy的默认Web站点根目录D:\phpstudy\PHPTutorial\WWW，如图4-5所示。

图4-5

步骤2：在D:\phpstudy\PHPTutorial\WWW\DVWA\config目录下，找到config.inc.php.dist文件，重命名为config.inc.php，如图4-6

图4-6

步骤3：用记事本打开config.inc.php文件，把配置文档中的$_DVWA['db_password']='P@ssw0rd';修改为$_DVWA['db_password']='root';，如图4-7（这里修改的是MySQL的管理员密码，该密码默认是root，如果修改过MySQL密码，这里需要改成你自己的密码）