web安全攻防DVWA靶场搭建

**

web安全攻防篇-2-搭建测试环境(靶场)

**
搭建靶场所需要的4个文件：
文件链接：
复制这段内容后打开百度网盘手机App，操作更方便哦 链接:https://pan.baidu.com/s/1QGr055IHwQfMDGShl6kvgA 提取码:hnzn

搭建步骤：
1.先将上述压缩包进行解压
2.运行PhpStudy进行二次解压到指定目录
3.将DVWA-master文件与sqli-labs-master文件粘贴到步骤二中解压的D:\phpStudy\PHPTutorial\PHPTutorial\WWW目录下(为了后续方便操作我将DVWA-master与sqli-labs-master文件名分别改成了DVWA与sqli)
4.将D:\phpStudy\PHPTutorial\WWW\sqli\sql-connections目录下的db-creds.inc文件使用pycharm打开并设置$dbpass密码，设置好后保存退出即可
5.
在浏览器中访问127.0.0.1可见hello word，访问127.0.0.1/sqli/后点击Setup/reset Database for labs即可创建数据库，创建好后访问http://127.0.0.1/sqli/Less-1/ 显示下图即数据库创建成功
6.进入phpStudy的MySQL命令行可查看创建的数据库，密码为我们步骤4中设置好的 root
7.
将D:\phpStudy\PHPTutorial\WWW\DVWA\config目录下的config.inc.php.dist文件复制粘贴到同目录下一份副本后去掉.dist后缀，再到pycharm中修改 $_DVWA[ ‘db_password’ ] 密码(此处我设置的密码为root)后保存即可

8.

访问127.0.0.1/dvwa/setup.php点击创建数据库刷新后即可跳转到登录界面

默认账号为: admin 默认密码：password
登录成功后显示此界面即靶场创建成功！

Sqlmap特点：

1.完全支持MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access、IBM DB2、SQLite、Firebird、Sybase、SAP MaxDB、HSQLDB和Informix等多种数据库管理系统。
2.完全支持布尔型盲注、时间型盲注、基于错误信息的注入、联合查询注入和堆查询注入。
3.在数据库证书、IP地址、端口和数据库名等条件允许的情况下支持不通过SQL注入点而直接连接数据库。
4.支持枚举用户、密码、哈希、权限、角色、数据库、数据表和列。
5.支持自动识别密码哈希格式并通过字典破解密码哈希。
6.支持完全地下载某个数据库中的某个表，也可以只下载某个表中的某几列，甚至只下载某一列中的部分数据，这完全取决于用户的选择。
7.支持在数据库管理系统中搜索指定的数据库名、表名或列名

sqlmap官网下载地址：http://sqlmap.org/

使用phpstudy可快速搭建web项目开启apache和MySQL服务