kali 服务篇-DVWA靶机搭建 学习笔记

学习者需用虚拟机搭建CentOS环境。

另需准备DVWA部署包。可用命令下载：git clone https://github.com/digininja/DVWA.git

DVWA简介

Damn Vulnerable Web Application (DVWA)(译注：可以直译为："该死的"不安全Web应用网站)，是一个编码糟糕的、易受攻击的 PHP/MySQL Web应用程序。 它的主要目的是帮助安全专业人员在合法的环境中，测试他们的技能和工具，帮助 Web 开发人员更好地了解如何增强 Web 应用程序的安全性，并帮助学生和教师在受控的课堂环境中，了解 Web 应用程序的安全。

DVWA的具体目标是通过简单明了的界面，来演练一些最常见的 Web 漏洞，这些漏洞具有不同的难度级别。 请注意，此软件存在说明和未说明的漏洞。 这是故意的。 我们鼓励您尝试并发现尽可能多的安全问题。

 

# 进入安装目录，复制并修改文件config.inc.php

 

 修改相关数据库信息后，访问，可以看到如下页面

 

文件夹权限修改：

./hackable/uploads/ - 需要允许web服务可写（用于文件上传）。
./external/phpids/0.6/lib/IDS/tmp/phpids_log.txt - 需要允许web服务可写（如果你想使用 PHPIDS）

chmod 777 /var/www/html/hackable/uploads/
chmod 777 /var/www/html/external/phpids/0.6/lib/IDS/tmp/phpids_log.txt
chmod 777 /var/www/html/config
vi /etc/php.ini                                  # 设置allow_url_include=On
vi /var/www/html/config/config.inc.php           # 设置数据库信息；填写key（可选）
systemctl restart httpd.service

PHP配置:

allow_url_include = on - 允许远程文件包含 (RFI) [allow_url_include]
allow_url_fopen = on - 允许远程文件包含 (RFI) [allow_url_fopen]
safe_mode = off - （如果 PHP <= v5.4）允许 SQL 注入（SQLi） [safe_mode]
magic_quotes_gpc = off - （如果 PHP <= v5.4）允许 SQL 注入（SQLi） [magic_quotes_gpc]
display_errors = off - （可选）隐藏 PHP 警告消息以使其不那么冗长 [display_errors]

# 成功配置后，选项全绿即可

 

基本环境搭建成功

 

学习内容均参考：http://book.fsec.io/101-%E5%9F%BA%E7%A1%80%E7%AF%87/101-B-linux%E6%9C%8D%E5%8A%A1/101-B4-DVWA%E9%9D%B6%E6%9C%BA%E6%90%AD%E5%BB%BA.html