Web安全SQL注入学习之phpstudy下DVWA靶场搭建

一、简介

1、前言

• 为了模拟测试SQL注入，重点学习其主要的漏洞攻击原理，需要准备一个可进行渗透的测试环境；
• 然而真实情况下，我们并不能在网站上随意测试，因此需要自行搭建靶场；
• 本次学习主要通过集成开发环境phpstudy快速搭建wnmp式的dvwa靶场，其作为Web 安全学习入门靶场使用。

注意：最好在虚拟机环境下使用。

2、DVWA

• 定义：基于PHP/MySQL环境的非常脆弱的web应用漏洞程序。
• 主要作用：帮助安全专业人员在合法的环境中测试实践他们的技能和工具，帮助web开发人员更好地理解保护web应用程序的过程，以及帮助老师和学生进行教学和练习。
  来源链接：https://www.jianshu.com/p/97d874548300

二、操作指南

1、下载、安装phpstudy

下载

• 官网下载地址：https://www.xp.cn/download.html
• 百度网盘自取：https://pan.baidu.com/s/10bFrJcLg_7x32d81TRYzyw?pwd=xmdp 提取码: xmdp

安装
phpstudy安装为傻瓜式安装，自定义下载地址后可直接安装。
注意：

• 安装路径不能包含“中文”或者“空格”，否则会报错 ；
• 保证安装路径是纯净的，安装路径下不能有已安装的V8版本，若重新安装，请选择其它路径。

2、下载、存放DVWA

下载

• 官网下载地址：https://dvwa.co.uk/
  

• 百度网盘自取：https://pan.baidu.com/s/1QXiUM1js8s64mwY3imxUXg?pwd=uphr 提取码: uphr

存放
将下载好的dvwa解压后放置刚刚已经下载安装后的phpstudy目录下。

3、配置DVMA环境

一键开启wnmp环境

注意：

• 如果之前已经安装过mysql数据库，这里可能会遇到数据库启动不了的问题，亲测可以通过修改端口号解决。
• 具体解决方法可参照：phpStudy解决mysql启动后又自动关闭问题方法

新建dvwa网站

• 自定义域名 ：localhost

• 自定义端口号：8282（phpstudy默认为80,为避免冲突，选用不常用端口号）

• 根目录选择为第二步里DVWA存放位置目录

• php版本小皮默认为最新版本，为避免版本不兼容，最好换为低版本，亲测 php5.6.9 可用。
  
  修改dvwa配置文件

• 做完上述步骤，访问刚刚新建的dvwa网站地址：localhost:8282/,发现出现错误。
  

• 为解决此问题，需要将dvwa文件目录下配置文件后缀名修改为.php;在此文件下复制后去掉后面的dist即可。
  
  注意：修改完配置文件需重启服务以生效

• 继续访问，按照提示更改错误
  

• 重置数据库，提示需要修改dvwa配置文件里的数据库使用用户名和密码以与phpstudy里的root数据库连接对应
  

• 首先需要自定义修改小皮内root数据库密码（我自定义为了123456）以方便修改dvwa配置文件
  

• 其次修改dvwa对应数据库账号密码，同时根据错误信息3百度搜索密钥，此步骤可解决错误1、3
  

• 现在再访问dvwa网站,可以通过默认账号密码（admin/password）查看网站首页
  

• 网站首页界面
  

• 但是错误2，还未解决
  

• 错误2，通过提示信息，修改php配置文件

• 配置文件位置
  

• 添加代码行：
  

• 重启服务以生效

4、测试登录

再次以默认账号密码或者刷新访问页面，发现dvwa无错误提示信息，靶场基本搭建完毕。