搭建DVWA Web渗透测试靶场
文章更新于:2020-04-13
按照惯例,需要的文件附上链接放在文首。
文件名:DVWA-1.9-2020.zip
文件大小:1.3 M
文件说明:这个是新版 v1.9 (其实是 v1.10开发版),下面那个文件是1.0版
下载地址:https://ww.lanzous.com/ibbnj7g
SHA256: A9435F97E92EED93D3374FC7BD389F8F3C34CD849C536E19CBF33521AC77B7A7
文件名:DVWA-1.0.zip
文件大小:1.3 M
下载链接:https://ww.lanzous.com/ibbni9c
SHA256: 548A17143913D116AB0614F4AB1ACCE10E5A3CD707834801548B9730739EA070
文章目录
- 一、下载 DVWA 环境源码
- 1、进入 DVWA 的官网
- 2、点击之后即可下载如下图,
- 二、配置 DVWA 环境
- 1、下载之后将其解压,复制到网站根目录下
- 2、配置数据库密码
- 3、然后浏览器访问 http://localhost/DWWA-master
- 4、修复问题
- 5、修改配置文件
- 6、修改之后重启 Apache 或 Nginx 生效
- 7、如果出现 reCAPTCHA:Missing 字样
- 8、创建数据库
- 9、如果数据库软件没打开,会出现无法连接提示
- 10、创建数据库成功
- 11、补充:关于 php 的版本问题
- 三、登录使用靶场
- 1、使用默认账号密码登录
- 2、进入主页面
- 3、查看题目源代码
- 4、查看题目帮助
- 5、设置题目难度级别
- 6、重置数据库
- 7、修复中文乱码问题
- 9、验证乱码问题
- 四、Enjoy!!
一、下载 DVWA 环境源码
DVWA 基于web 服务器环境的,关于如何搭建 web 服务器,各位煤老板看一下文末的链接。
1、进入 DVWA 的官网
官网 http://www.dvwa.co.uk/ 页面拉到最下面有下载按钮(链接到GitHub)。
或直接使用文首链接。
官方v1.0版下载链接:https://codeload.github.com/ethicalhack3r/DVWA/zip/master
官方v1.9版下载地址:https://codeload.github.com/ethicalhack3r/DVWA/zip/v1.9
2、点击之后即可下载如下图,
二、配置 DVWA 环境
1、下载之后将其解压,复制到网站根目录下
2、配置数据库密码
先将 //www/DVWA-master/configure/ 中的 configure.inc.php.disc 去掉 .disc 后缀或拷贝一份去掉后缀
然后将 configure/configure.inc.php 文件中的数据库信息修改为如下图(也就是配置数据库密码):
3、然后浏览器访问 http://localhost/DWWA-master
4、修复问题
如果页面中出现红字,说明有一些问题,比如:
5、修改配置文件
如出现 PHP function allow_url_include: Disabled 需要修改php配置文件的 php.ini
将php安装路径下php的配置文件 php.ini 中 allow_url_include 值改为on
注1:是你安装的php目录下的php.ini 不是你DVWA目录下的。
注2:Linux 修改之后需要重启 php以生效。
6、修改之后重启 Apache 或 Nginx 生效
7、如果出现 reCAPTCHA:Missing 字样
需要在 configure/configure.inc.php中配置两个量
配置$_DVWA[ 'recaptcha_public_key' ] = '6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg';
配置$_DVWA[ 'recaptcha_private_key' ] = '6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ';
然后刷新页面即可。
8、创建数据库
9、如果数据库软件没打开,会出现无法连接提示
10、创建数据库成功
11、补充:关于 php 的版本问题
如果你 dvwa 使用的是 v1.0 的源码,可能会有因为 php 创建数据库失败的可能。
在上述版本中,源码使用的是 mysql 函数来连接数据库,而在php 高版本比如 7.0 中则废弃了这一语法改用 mysqli。
所以如果你点击创建数据库没有反应或者白屏,你可以检查你的 web 服务器错误日志,如果是说调用了未定义的函数则是此原因。
解决办法:
1、改用低版本 php 比如 5.x
2、使用最新的源码(去 Github上下载,不到 2 MB)。
3、使用最新的源码,文首蓝奏链。
三、登录使用靶场
1、使用默认账号密码登录
数据库创建成功以后会自动跳转登录页面,有五个默认账号密码,选一组登录即可。
2、进入主页面
登录之后如图所示,左边是靶场漏洞的菜单,点击之后右边会显示相应的环境:
3、查看题目源代码
4、查看题目帮助
5、设置题目难度级别
6、重置数据库
7、修复中文乱码问题
如果出现中文乱码问题,可修改配置文件中的编码方式
中文乱码问题:DVWA -> dvwa -> includes,找到 dvwaPage.inc.php 文件将所有的utf-8 改为 gb2312 或 GBK 即可
9、验证乱码问题
再次查看的时候,已经没有乱码问题。
四、Enjoy!!
注:
1、搭建 web 环境参见: Windows&linux使用集成环境搭建 web 服务器
2、搭建 sqli SQL注入环境参见: 搭建 sqli SQL注入练习靶场
3、web 方向 CTF 参见: Wirte-up:攻防世界Web解题过程新手区01-06