用phpStudy搭建DVWA漏洞测试环境-详细过程

目录结构

1.下载、安装PhpStudy
2.下载、存放DVWA
3.配置DVWA环境
4.访问DVWA进行登录

DVWA简介
前面几篇文章对渗透测试和安全测试的一些概念和执行流程有个大致了解，为了对安全测试更深入的理解，则需要依靠实践操作，而实践又不能随便对正式环境中的数据去操作，因此有必要在自己PC上搭建一套or几套渗透测试环境，以方便模拟攻防练习。比如业界常用的DVWA漏洞系统：

Damn Vulnerable Web App (DVWA) is a PHP/MySQL web application that is damn vulnerable. Its main goals are to be an aid for security professionals to test their skills and tools in a legal environment, help web developers better understand the processes of securing web applications and aid teachers/students to teach/learn web application security in a class room environment.
DVWA是一个基于PHP/MySQL环境的非常脆弱的web应用漏洞程序，其主要目标是帮助安全专业人员在合法的环境中测试实践他们的技能和工具，帮助web开发人员更好地理解保护web应用程序的过程，以及帮助老师和学生进行教学和练习。

1.下载、安装PhpStudy

下载地址传送门：http://phpstudy.php.cn/download.html

下载完成之后，解压安装包，然后双击运行程序文件phpStudySetup.exe进行安装
安装完成之后可以看到

启动phpStudy，通过【其他选项菜单-->phpStudy设置-->端口常规设置】检测端口是否有被其他程序占用，若占用了则修改一下httpd端口

通过url地址http://localhost:801/phpmyadmin/index.php（若httpd端口是80，则端口号在此url中可不加）可正常访问phpMyAdmin

根据mysql数据库设置的账户信息（用户名/密码：root-----root），填写到phpMyAdmin登录界面对应的输入框进行登录

登录成功，说明phpStudy已经安装OK

2.下载、存放DVWA

下载地址传送门：http://www.dvwa.co.uk/
github项目：https://github.com/ethicalhack3r/DVWA

下载后从压缩包DVWA-mater.zip解压出的文件夹名字是DVWA-master，为了方便url输入访问，可以把此名字修改为dvwa，然后把它存放到phpStudy的网站目录之下...\phpStudy2018\...\www

3.配置DVWA环境

通过url链接 http://localhost:801/dvwa/ 测试访问dvwa站点，发现系统出现异常提示信息“DVWA System error - config file not found. Copy config/config.inc.php.dist to config/config.inc.php and configure to your environment.”

以上提示的大致意思为：配置文件未找到，需要复制config目录下的config.inc.php.dist文件到config目录下变为config.inc.php文件。
讲白话一点，也就是把config.inc.php.dist文件的后缀.dist去掉，就变成config.inc.php文件

再次以url链接 http://localhost:801/dvwa/ 测试访问dvwa站点，效果如下：
（此页面上的“admin // password”可用于后面成功安装DVWA环境后，进行登录的账户信息使用）

然后点击页面底部的【Create / Reset Database】按钮进行创建数据库

此时系统出现异常提示“Could not connect to the MySQL service.
Please check the config file.”

问题分析：与Mysql服务器连接不上，检查php配置文件中所设置的Mysql数据库信息是否正确。
配置文件config.inc.php中Mysql的用户名和密码都需要与第1步安装phpStudy时所设置的Mysql账户密码一直，即都为root，具体根据每个人不同设置的情况进行修改

修改设置保存之后，再次刷新页面，点击【Create / Reset Database】，系统提示users表和guestbook表已经创建ok，数据导入ok，即DVWA环境安装成功，而后会自动跳转到DVWA的登录界面

4.访问DVWA进行登录

此时，需要从安装DVWA的页面上所提示的账户密码（admin // password）用来登录DVWA

点击“Login”后即可登录成功

左侧导航栏上列出了测试用的Web安全漏洞类型，通过【DVWA Security】按钮可设置（Impossible、High、Medium、Low）漏洞安全等级进行测试。