Win7下DVWA渗透测试平台的搭建与安装

打算开始学习web渗透测试，开始搭建DVWA。

1. 安装环境

DVWA是基于PHP&MySQL开发的，所以先安装语言环境，可以直接通过XAMPP来搭建。

XAMPP下载地址：https://www.apachefriends.org/zh_cn/index.html

DVWA下载地址：http://www.dvwa.co.uk/

2. DVWA的安装

1) 安装XAMPP；

2) 解压DVWA-master.zip并修改文件名为dvwa，拷贝到XAMPP的安装目录 \xampp\htdocs下（移除原有的）；

3) 修改dvwa\config里，config.inc.php.dist为config.inc.php（否则会出现config not found），并把密码$_DVWA[ 'db_password' ] = 'p@ssw0rd'改为 '' (空)

4) 启动XAMPP，通过控制台启动Apache和MySQL服务。如果端口被占用可能出现启动失败，先关闭占用相应端口的进程，再重新启动即可。

5) 在浏览器输入http://127.0.0.1/dvwa/setup.php，点击“Create / Reset Database”，创建成功后，会自动跳转到登陆界面，安装完成。

3. 简单测试

登陆界面默认用户名 admin，密码 password。登陆进去后，先调整安全级别为low，

测试一个XSS，在如下页面中，写入代码：

点击"Submit"，就有弹窗提醒啦，测试OK。

PS：Chrome默认是有xss-auditor拦截的，所以在测试XSS时可能出现ERR_BLOCKED_BY_XSS_AUDITOR异常。解决办法在桌面建一个关闭XSS检测拦截的新Chrome快捷键即可，目标为："C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --args --disable-xss-auditor  ，其中前面部分为chrome安装位置，重启chrome即可。

另外，对于File Inclusion（文件包含）模块，需要开启allow_url_include选项：在XAMPP Control Panel上，配置Apache PHP.ini文件（或者直接打开~\xampp\php\php.ini），把" allow_url_include=Off " 修改为 " allow_url_include=On "，保存后重启Apache即可。