DVWA靶场

目录

靶场简介

搭建DVWA靶场

1.下载phpstaudy

 2. 下载DVWA

​编辑 错误提示修改

 PHP function display_startup_errors: disabled PHP function allow_url_include: disabled

内容浅析

修改难度出错

 知法 懂法 守法​


靶场简介

作为初入茅庐的新手,第一个听说的靶场应该就是DVWA,部署简单安装完对应版本的PAM(PHP-Apache-MySQL),简单配置后就可以使用。

DVWA靶场包含了众多常见的Web漏洞,页面十分精简,将各种不同业务环境下的漏洞,抽象出来总结成一个集成靶场,使用起来也很方便,并且每个漏洞页面都可以查看目前的源码,在一定程度上可以提升、熟练代码的审计能力,可以说对新手非常的友好。

搭建DVWA靶场

搭建web靶场首先要搭建一个web服务,需要四样东西:

1.操作系统:windows,linux,macos等

2.中间件:用于处理数据的交互。常见的中间件由nginx,apache,iis等

3.数据库:mysql,sqlserver,Oracle,Access等

4.一种后端语言:php,python,java等

这四样凑齐挺麻烦的,推荐使用phpstudy

phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境。该程序不仅包括PHP调试环境,还包括了开发工具、开发手册等。

1.下载phpstaudy

phpstaudy下载地址

下载之后进行安装,运行之后一路下一步,一定记得存放位置要改到一个可以找的到的位置

安装完成后,我们可以在phpstudy的文件目录找到phpStudy.exe,双击phpstaudy.exe运行(若是桌面有快捷方式直接点击即可)

DVWA靶场_第1张图片

 打开如图所示DVWA靶场_第2张图片

 2. 下载DVWA

DVWA下载链接

下载完解压到*\phpstudy_pro\WWW目录下,并且重命名为DVWA

WWW目录是phpstudy网站目录的默认根目录,需要将所有的站点文件放置在该目录下

DVWA靶场_第3张图片

 进入DVWA的config文件夹下,将config.inc.php.dist 的.dist删掉

DVWA靶场_第4张图片

然后打开更改完的文件,第1项更改为root,将第2相的key填入

Site key:
6LdJJlUUAAAAAH1Q6cTpZRQ2Ah8VpyzhnffD0mBb

Secret key:
6LdJJlUUAAAAAM2a3HrgzLczqdYp4g05EqDs-W4K

key可以自己生成,地址是

key生成地址

DVWA靶场_第5张图片

接下来启动phpstudy

DVWA靶场_第6张图片

 点击网站进行如下配置:DVWA靶场_第7张图片

 配置完成后浏览器输入自己设置的域名登录

账号:admin

密码:password

进入之后点击Setup / Reset DB,划到最下边,点击create/reset database

DVWA靶场_第8张图片

DVWA靶场_第9张图片 错误提示修改

 PHP function display_startup_errors: disabled
 PHP function allow_url_include: disabled

打开小皮,进行以下几步操作,操作完成后重新启动网站

DVWA靶场_第10张图片

DVWA靶场_第11张图片

 DVWA靶场_第12张图片

 DVWA靶场_第13张图片

内容浅析

默认账号:admin

默认密码:password

DVWA靶场_第14张图片

靶场:暴力破解(Brute Force)、命令注入(Command Injection)、跨站请求伪造(CSRF)、文件包含(File Inclusion)、文件上传(File Upload)、不安全的验证码(Insecure CAPTCHA)、SQL注入(SQL Injection)、SQL盲注(SQL Injection Blind)、反射型跨站脚本攻击(XSS Reflected)、存储型跨站脚本攻击(XSS Stored)等等。

DVWA靶场_第15张图片

 靶场包含四个等级从易到难分别为:Low、Medium、High、Impossible。DVWA靶场_第16张图片

DVWA靶场_第17张图片

 选好之后提交注意看一下是否更改完成

DVWA靶场_第18张图片

修改难度出错

有时候会出现提交完这里对应的参数没有更改,此时,按F12进入开发者模式,点击存储,选择对应的网址,选择需要删除的难度,删除后刷新即可DVWA靶场_第19张图片至此全部完成

 知法 懂法 守法DVWA靶场_第20张图片

你可能感兴趣的:(DVWA靶场,网络安全)