搭建DVWA靶场

搭建DVWA靶场

@Author by 白也白泽

一、DVWA简介:
       DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范过程。

二、实验环境:

  • 系统:CentOS7
  • 主机名:localhost
  • IP地址:192.168.18.129

三、操作步骤:

  1. 关闭防火墙并设置开机不启动

[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# systemctl disable firewalld
  1. 关闭selinux
[root@localhost ~]# vim /etc/selinux/config

搭建DVWA靶场_第1张图片

将SELINUX=enforcing修改为SELINUX=disable,并保存退出

搭建DVWA靶场_第2张图片

重启系统,selinux才能彻底关闭

[root@localhost ~]# reboot

清空防火墙规则

[root@localhost ~]# iptables -F
  1. 搭建LAMP环境
[root@localhost ~]# yum install -y httpd php php-mysql php-gd mariadb-server mariadb

注:php-gd 库:gd 库是 php 处理图形的扩展库,gd 库提供了一系列用来处理图片的 API,使用 gd库可以处理图片,或者生成图片。 在网站上 gd 库通常用来生成缩略图或者用来对图片加水印或者对网站数据生成报表及验证码。

  1. 启动httpd和mariadb服务,并设置开机自启
[root@localhost ~]# systemctl start httpd
[root@localhost ~]# systemctl start mariadb
[root@localhost ~]# systemctl enable httpd
[root@localhost ~]# systemctl enable mariadb

搭建DVWA靶场_第3张图片

  1. 测试LAMP的环境
[root@localhost ~]# vi /var/www/html/test.php

将下面代码添加到test.php文件中,并保存退出:

<?php
        phpinfo();
?>

物理机浏览器访问http://192.168.18.129/test.php

搭建DVWA靶场_第4张图片

  1. 配置mariadb数据库的root用户密码:
[root@localhost ~]# mysqladmin -u root password "123456"
[root@localhost ~]# mysql -uroot -p123456
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MariaDB connection id is 3
Server version: 5.5.68-MariaDB MariaDB Server

Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MariaDB [(none)]> exit
Bye
[root@localhost ~]# 
  1. 将DVWA上传到服务器
[root@localhost ~]# yum install lrzsz -y

注:若CentOS7为mini安装,则需要安装上传、下载工具lrzsz

搭建DVWA靶场_第5张图片

image-20221111205401910

  1. 将DVWA解压到httpd的根目录下:
[root@localhost ~]# unzip -d /var/www/html/ DVWA.zip 
[root@localhost ~]# ls /var/www/html
DVWA  test.php
  1. 修改DVWA整体的所属权限:
[root@localhost ~]# chown -R apache:apache /var/www/html/DVWA/
  1. 修改DVWA的配置文件:
[root@localhost ~]# cd /var/www/html/DVWA/config/
[root@localhost config]# ls
config.inc.php.dist
[root@localhost config]# cp config.inc.php.dist config.inc.php
[root@localhost config]# ls
config.inc.php  config.inc.php.dist
[root@localhost config]# vim config.inc.php

修改标注内容:

搭建DVWA靶场_第6张图片

搭建DVWA靶场_第7张图片

找到29行和30行:

搭建DVWA靶场_第8张图片

      PS:正常渠道是访问 https://www.google.com/recaptcha/admin/create 并用 google 账户登录,在文本框输 入自己网站的网址,如 global-key.mycompany.com ,点击 create key,生成 Public Key 和 Private Key。但因为Google退出中国大陆市场,导致无法获取。所以我就采用别人现成的公钥和私钥

$_DVWA[ 'recaptcha_public_key' ] = '6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg'; 

$_DVWA[ 'recaptcha_private_key' ] = '6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ';

image-20221111213030906

保存并退出

  1. 修改php的配置文件:
[root@localhost config]# vim /etc/php.ini

通过命令:冒号+815,定位到815行,将allow_url_include=Off修改为allow_url_include=On,并保存退出

image-20221111213838548

搭建DVWA靶场_第9张图片

  1. 重启httpd服务:
[root@localhost config]# systemctl restart httpd
  1. 正式部署DVWA靶场:

物理机浏览器访问:http://192.168.18.129/DVWA/setup.php

并点击Create/Reset Database按钮

搭建DVWA靶场_第10张图片

搭建DVWA靶场_第11张图片

等待两三秒钟,自动跳转到dvwa登录界面:

账户/密码:admin/password

搭建DVWA靶场_第12张图片

DVWA部署完成:

搭建DVWA靶场_第13张图片

你可能感兴趣的:(笔记,linux,服务器,centos)