安装WEB渗透模拟环境WebGoat、DVWA、Mutillidae和sqli-labs

我们做渗透测试的不可以随便拿别的网站进行渗透测试，未经授权的渗透测试也算是违法行为，读者可自行搜索相关法律。因此我们需要自己搭建web渗透测试的环境。这里推荐使用OWASP提供的WebGoat、DVWA和Mutillidae来作为渗透测试环境，读者可以自行搜索这些软件的介绍。其实WebGoat、DVWA和Mutillidae都包含在OWASPBWA这个套件中，可以直接下载一个OWASPBWA虚拟机即可，在本文的最后将会介绍安装。

安装WebGoat需要Java运行环境和Tomcat，因此我们可以先下载并安装Java，然后在安装Tomcat，最后下载WebGoat运行。这里我们直接下载Java、Tomcat和WebGoat集成环境免安装包即可，下载WebGoat-OWASP_Standard-5.2.zip，点击下载，

由于此zip文件中包含有Tomcat网站服务器，所有不必另外安装，解压下载的zip文件如图，其中有两个批处理文件，webgoat.bat默认打开80端口作为服务端口，另一个则是打开8080端口作为服务端口，读者可以自行修改端口

这里我用8080端口，双击第二个批处理文件，如图，出现Server startup in xxx ms表示启动完成

打开浏览器，输入：http://localhost:8080/WebGoat/attack，输入账号和密码都为guest，登录后即可使用

可以在中文官网查看中文使用文档，如果想要让其他主机也可以访问此测试网站进行练习，可以修改tomcat/conf下的server_80.xml和server_8080.xml中的Connector address="127.0.0.1"为本机IP地址，若要修改端口，修改后面的8080为想要的端口即可，如图

安装DVWA需要PHP和MySQL环境，可以使用wampserver集成PHP和MySQL环境的软件，也可以使用其他PHP和MySQL环境，或者直接安装DVWA的LiveCD版本，读者可以自行搜索，这里我用的wampserver集成环境Wamp的搭建与DVWA的安装，也可以在WebGoat安装完的基础上，直接安装到Tomcat环境下，但是需要自行安装PHP和MySQL并配置PHP到tomcat，过程比较复杂读者可自行搜索tomcat+php安装与配置，安装完之后在DVWA官网下载DVWA-master.zip，然后解压在任何位置，为了方便我这里把解压后的DVWA-master文件夹重命名为DVWA，如图

然后在tomcat/conf/Catalina\localhost下新建一个dvwa.xml文件，写入如图，保存即可

然后将D:\DVWA\config下的config.inc.php.dist文件重命名为config.inc.php，修改里面的MySQL的root用户密码（可参考Wamp的搭建与DVWA的安装），运行WebGoat下的批处理就可以同时开启webgoat和dvwa，访问http://localhost:8080/dvwa就可以打开DVWA页面，输入admin，password即可登录,此方法理论上是可以的，过程太过复杂没有实践，推荐用Wamp的搭建与DVWA的安装，简单快速，如果使用OWASPBWA自带的DVWA只需在安装好OWASPBWA虚拟机之后直接输入虚拟机IP地址加dvwa，如：http://192.168.41.147/dvwa，默认账号和密码都是admin

下载owaspbwa，由于这是一组充满漏洞的测试网站，所有我建议下载虚拟机版本的打开下载页面，或者下载网页的目录，然后挂载到有PHP和MySQL环境的网站，并设置MySQL，打开下载页面

这里我们选择虚拟机版本的，下载好之后解压为OWASP，建议设置此虚拟机网络模式为NAT或者Host only，使用VMware打开解压的文件即可，需要等待几分钟，然后会告诉你登录的用户名和密码及访问的URL，按提示登录即可，如图

输入URL即可访问OWASPBWA首页，如图

除了DVWA，sqli-labs也是一个练习SQL注入的好工具，并且配置简单，只需在GitHub下载https://github.com/Audi-1/sqli-labs，然后解压复制到wampserver下的www目录下，然后打开文件夹，在sql-connections目录下找到db-creds.inc，编辑内容如下，填写数据库root用户的密码

然后在开启wampserver的情况下直接输入url：http://localhost/sqli-labs即可

现在，可以开始我们的WEB渗透之旅了！