DVWA渗透测试系列 一 (DVWA环境配置)

DVWA介绍:

        DVWA是一个渗透测试靶机系统。

        DVWA具有十个模块:分别是 Brute Force(暴力破解)、Command Injection(命令行注入)、CSRF(跨站请求伪造)、File Inclusion(文件包含)、File Upload(文件上传)、Insecure CAPTCHA(不安全的验证码)、SQL Injection(SQL注入)、SQL Injection(Blind)(SQL盲注)、XSS(Reflected)(反射型跨站脚本)、SXX(stored)(存储型跨站脚本)。

        DVWA代码安全级别分为:low、Medium、High、Impossible,难度级别可以自己调节。

 

DVWA环境搭建:

 

下载DVWA:       

wget https://github.com/ethicalhack3r/DVWA/archive/master.zip

把压缩包移动到html目录下

mv master.zip  /var/www/html/

 

解压

解压完成删除安装包

开始配置环境:

先停掉apache2

 

给DVWA-master文件夹赋权限

启动mysql

打开mysql,新建数据库

完成后exit;退出数据库

启动apache

修改配置文件:config.inc.php.dist

修改配置文件名称:

             cp /var/www/html/DVWA-master/config/config.inc.php.dist /var/www/html/DVWA-master/config/config.inc.php

修改前记得备份一下原配置文件。

安装php-mysql php-pear

浏览器打开:

http://127.0.0.1/DVWA-master/setup.php

 

DVWA启动成功,但是还有些配置问题,接下来一一解决

 

PHP function allow_url_include: Disabled

编辑php.ini

路劲为:

修改off为on

重启apache2,没有报红了

如果不成功,继续修改

 

PHP module gd: Missing - Only an issue if you want to play with captchas

安装后还是不行,不过不影响后面应用的正常使用

 

reCAPTCHA key: Missing

编缉dvwa/config/config.inc.php

配置$_DVWA[ 'recaptcha_public_key' ]  = '6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg';

配置$_DVWA[ 'recaptcha_private_key' ] = '6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ';

 

查找配置文件:

config.inc.php

把key添加进去

 

或者进这个网站生成新的KEY:

https://www.google.com/recaptcha/admin/create

配置完成后:

 

下面这个问题,需要把配置文件报红处改为on

找出配置文件,并修改

我全改了还是不行,不过不影响使用

 

接下来打开本地dvwa网站,创建数据库,如果报错,按照下面的法操作

打开mysql,使用root用户

再使用mysql,因为刚刚启用的是MariaDB,KALI中自带的

设置密码,创建用户等信息

配置好后结果如下

启动apache2

打开网址即可正常打开,默认用户名密码:admin/password

 

posted on 2019-02-27 22:26  Ra7ing安全实验室  阅读(7176)  评论(0编辑  收藏  举报

导航