DVWA靶场

目录

靶场简介

搭建DVWA靶场

1.下载phpstaudy

 2. 下载DVWA

​编辑 错误提示修改

 PHP function display_startup_errors: disabled PHP function allow_url_include: disabled

内容浅析

修改难度出错

 知法 懂法 守法​

---

靶场简介

作为初入茅庐的新手，第一个听说的靶场应该就是DVWA，部署简单安装完对应版本的PAM(PHP-Apache-MySQL)，简单配置后就可以使用。

DVWA靶场包含了众多常见的Web漏洞，页面十分精简，将各种不同业务环境下的漏洞，抽象出来总结成一个集成靶场，使用起来也很方便，并且每个漏洞页面都可以查看目前的源码，在一定程度上可以提升、熟练代码的审计能力，可以说对新手非常的友好。

搭建DVWA靶场

搭建web靶场首先要搭建一个web服务，需要四样东西：

1.操作系统：windows，linux，macos等

2.中间件：用于处理数据的交互。常见的中间件由nginx，apache，iis等

3.数据库：mysql，sqlserver，Oracle，Access等

4.一种后端语言：php，python，java等

这四样凑齐挺麻烦的，推荐使用phpstudy

phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer，一次性安装，无须配置即可使用，是非常方便、好用的PHP调试环境。该程序不仅包括PHP调试环境，还包括了开发工具、开发手册等。

1.下载phpstaudy

phpstaudy下载地址

下载之后进行安装，运行之后一路下一步，一定记得存放位置要改到一个可以找的到的位置

安装完成后，我们可以在phpstudy的文件目录找到phpStudy.exe，双击phpstaudy.exe运行（若是桌面有快捷方式直接点击即可）

 打开如图所示

 2. 下载DVWA

DVWA下载链接

下载完解压到*\phpstudy_pro\WWW目录下，并且重命名为DVWA

WWW目录是phpstudy网站目录的默认根目录，需要将所有的站点文件放置在该目录下

 进入DVWA的config文件夹下，将config.inc.php.dist 的.dist删掉

然后打开更改完的文件，第1项更改为root，将第2相的key填入

Site key:
6LdJJlUUAAAAAH1Q6cTpZRQ2Ah8VpyzhnffD0mBb

Secret key:
6LdJJlUUAAAAAM2a3HrgzLczqdYp4g05EqDs-W4K

key可以自己生成，地址是

key生成地址

接下来启动phpstudy

 点击网站进行如下配置：

 配置完成后浏览器输入自己设置的域名登录

账号：admin

密码：password

进入之后点击Setup / Reset DB，划到最下边，点击create/reset database

 错误提示修改

 PHP function display_startup_errors: disabled
 PHP function allow_url_include: disabled

打开小皮，进行以下几步操作，操作完成后重新启动网站

 

 

内容浅析

默认账号：admin

默认密码：password

靶场：暴力破解(Brute Force)、命令注入(Command Injection)、跨站请求伪造(CSRF)、文件包含(File Inclusion)、文件上传(File Upload)、不安全的验证码(Insecure CAPTCHA)、SQL注入(SQL Injection)、SQL盲注(SQL Injection Blind)、反射型跨站脚本攻击(XSS Reflected)、存储型跨站脚本攻击(XSS Stored)等等。

 靶场包含四个等级从易到难分别为：Low、Medium、High、Impossible。

 选好之后提交注意看一下是否更改完成

修改难度出错

有时候会出现提交完这里对应的参数没有更改，此时，按F12进入开发者模式，点击存储，选择对应的网址，选择需要删除的难度，删除后刷新即可至此全部完成

 知法 懂法 守法