DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程
因为工作需要,最近在学习web安全测试方面的知识,感觉“很难!”、“很专业!”,有点无从下手的感觉,最后决定还是先从web安全测试相关的概念入手,再根据每种类型的漏洞模拟演练一下。网上一番冲浪后,发现了十大渗透测试演练系统:http://www.freebuf.com/sectool/4708.html。嗯,我选择了安装第一个DVWA。
下面是安装DVWA测试环境的步骤
1.准备
centos虚拟机、linux版本xampp安装包、DVWA安装包(文末有百度云盘链接)
2.安装xampp
XAMPP 是一个易于安装且包含 MySQL、PHP 和 Perl 的 Apache 发行版,而DVWA也是由php编写的,所以先安装xampp,然后把dvwa部署在里面
(1)选定一个路径,把下载好的xampp-linux-x64-7.2.7-0-installer.run放到指定文件夹
1.[root@localhost xampp]# ls
2.xampp-linux-x64-7.2.7-0-installer.run
(2)赋予该文件可执行权限
1.[root@localhost xampp]# chmod 777 xampp-linux-x64-7.2.7-0-installer.run
(3)执行该文件进行安装
1.[root@localhost xampp]# ./xampp-linux-x64-7.2.7-0-installer.run
安装过程一直选择“y”即可
根据提示,XAMPP最终安装到了 /opt/lampp
(4)启动xampp服务
1.[root@localhost lampp]# /opt/lampp/lampp start
在浏览器访问:http://192.XXX.XXX.XXX,出现如下页面,表示安装成功
3.安装DVWA
(1)把下载好的 DVWA-master.zip 放到 /opt/lampp/htdocs中,然后解压
1.[root@localhost htdocs]# unzip DVWA-master.zip
2.[root@localhost htdocs]# mv DVWA-master DVWA # 重命名文件夹为DVWA
(2)在重启xampp服务前,需要修改一下DVWA中的配置文件
进入路径:/opt/lampp/htdocs/DVWA/config,可以看到一个文件:config.inc.php.dist,把它重命名为config.inc.php,或者复制一份并将复制得到的文件命名为config.inc.php
1.[root@localhost config]# mv config.inc.php.dist config.inc.php # 直接修改文件名字
2.[root@localhost config]# cp config.inc.php.dist config.inc.php # 复制一份(建议用这种方式,保留原文件)
打开文件修改下数据库连接信息
完成上述步骤后,重启xampp服务
1.[root@localhost config]# /opt/lampp/lampp restart
4.访问DVWA
在浏览器输入链接:http://192.168.XXX.XXX/DVWA
账号密码可以用:admin password
或者到数据库查询一下
1.[root@localhost bin]# pwd
2./opt/lampp/bin # 切换到lampp的bin目录
3.[root@localhost bin]# ./mysql # 连接mysql
4.Welcome to the MariaDB monitor. Commands end with ; or \g.
5.Your MariaDB connection id is 6
6.Server version: 10.1.34-MariaDB Source distribution
7.Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.
8.Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
9.MariaDB [(none)]> use dvwa; # 切换至dvwa数据库(它是dvwa使用的数据库)
10.Database changed
11.MariaDB [dvwa]> show tables;
12.+----------------+
13.| Tables_in_dvwa |
14.+----------------+
15.| guestbook |
16.| users |
17.+----------------+
18.2 rows in set (0.00 sec)
19.MariaDB [dvwa]> select *from users;
20.+---------+------------+-----------+---------+----------------------------------+-----------------------------+---------------------+--------------+
21.| user_id | first_name | last_name | user | password | avatar | last_login
22.| failed_login |
23.+---------+------------+-----------+---------+----------------------------------+-----------------------------+---------------------+--------------+
24.| 1 | admin | admin | admin | 5f4dcc3b5aa765d61d8327deb882cf99 | /hackable/users
25./admin.jpg | 2018-07-19 00:10:21 | 0 |
26.| 2 | Gordon | Brown | gordonb | e99a18c428cb38d5f260853678922e03 | /hackable/users
27./gordonb.jpg | 2018-07-18 22:33:09 | 0 |
28.| 3 | Hack | Me | 1337 | 8d3533d75ae2c3966d7e0d4fcc69216b | /hackable/users
29./1337.jpg | 2018-07-18 22:33:09 | 0 |
30.| 4 | Pablo | Picasso | pablo | 0d107d09f5bbe40cade3de5c71e9e9b7 | /hackable/users
31./pablo.jpg | 2018-07-18 22:33:09 | 0 |
32.| 5 | Bob | Smith | smithy | 5f4dcc3b5aa765d61d8327deb882cf99 | /hackable/users
33./smithy.jpg | 2018-07-18 22:33:09 | 0 |
34.+---------+------------+-----------+---------+----------------------------------+-----------------------------+---------------------+--------------+
35.5 rows in set (0.01 sec)
36.MariaDB [dvwa]>
密码是用md5加密的,可以在网上解密一下(百度md5解密)
登录dvwa,查看一下
XAMPP安装包:链接:https://pan.baidu.com/s/1pOG29KCR83GG_8LukE9dbA 密码:edgf
DVWA安装包:链接:https://pan.baidu.com/s/1NJD3CPKOb5lAHoRFIgYUCw 密码:lkqs
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/77655.html
