在window10下部署DVWA超详细步骤

前言

学习web渗透测试，必须要实践，像我这种初学者尤为必要。
正好Github上就有DVWA这样一个开源项目，供Web开发者了解常见安全问题。同时也为Web渗透测试初学者，提供了便利、合法的学习环境。
DVWA官网：http://www.dvwa.co.uk/
找到Download，下载得到一个压缩包。

部署DVAW并不麻烦，只要有phpstudy+DVWA，就可以搭建好目标。
下面分享我的部署经验，供大家参考，不足之处欢迎留言讨论~
然后就可以愉快的开始学习Web渗透测试中的骚操作了~（踩了一天的坑）

PS：我默认读这篇文章的朋友，有能力搜索和安装Burpsuit，phpstudy，SwitchHosts，安装软件问题不再赘述

一、环境

• 系统：win10 64位
• 浏览器：Chrome（版本73.x）
• 目标服务器：phpstudy（官网最新）
• 测试环境：DVWA（1.10）
• 修改Hosts工具：Switch Hosts

二、步骤

1. 目标服务器及DVWA站点配置

1.1将DVWA放入指定文件夹

PS：解压缩得到的文件夹名字时“DVWA-master”，要把-master删掉

DVWA放置路径.jpg

1.2修改DVWA/config目录下的config文件为php

去除文件后缀.jpg

• 去除php后面多余的后缀即可。

1.3修改config文件参数

• 如图修改
  
  修改config参数.jpg

1.4修改phpstudy的php开关参数

• 把参数开关列表中，最后三个全部勾上
  
  phpstudy里的php开关设置.jpg

1.5站点域名设置

• 点击其他选项菜单，找到站点域名管理。
  把网站域名改为

www.dvwa.com

• 这里随意改名，开心就好。
• 网站目录选择：phpstudy\PHPTutorial\WWW\DVWA
• 二级域名可以留空
• 端口80
  
  php站点域名管理.jpg

最后别忘了点

• “新增”
• “保存设置并生成文件”

1.6设置系统hosts

打开SwitchHosts，末尾输入

127.0.0.1 www.dvwa.com

这样你在浏览器输入域名，就会打开DVWA的网站了

设置hosts.jpg

第一次使用SwirtchHosts，可能会遇到没有修改Hosts权限问题
请参考解决方案：
https://jingyan.baidu.com/article/624e7459b194f134e8ba5a8e.html

2. 系统代理/端口配置

2.1打开系统代理端口

• 开始菜单——>设置——>网络和Internet——>代理
  如图所示，把localhosts;127.*;删掉，这样你才能抓包。
  不要勾选“请勿将代理服务器...”
  记得保存！！！！

系统代理及端口设置.jpg

保存这一步可以在你准备抓包的时候再执行。

2.2 我们现在可以先不保存，测试一下目标站点能不能访问

• 先启动Phpstudy
• 然后在浏览器输入www.dvwa.com/DVWA/setup.php

DVWA设置及数据库创建.jpg

• 创建数据库，然后会自动跳转到登陆页面

测试DVWA能否访问.jpg

• 用户名admin；密码：password。进入如下页面

修改安全等级.jpg

• 修改安全等级为Low
  

  修改难度等级2.jpg

• Submit提交
  到这里，DVWA已经在你电脑里部署好，并且可以访问了。
  接下来就是抓包测试了

3. BurpSuit基本配置

Burpsuit端口及抓取目标筛选.jpg

• 打开系统代理，启动phpstudy软件
  1.设置好Burpsuit监听端口
  2.选择抓取的目标网站域名

4. 抓包测试

终于最后一步了~
选择第一关，后台登陆用户名、密码爆破

选择第一关并测试能否抓包.jpg

可以看到，输入用户名和密码后，Burp成功截获报文。
利用这段请求报文，我们就可以利用Burp中的“Intruder”进行暴力登陆尝试，来获得正确的后台登陆的用户名和密码了

抓包成功.jpg

三、写在后面

部署已经完成，接下来就是一关一关的学习，和尝试了。
有空再记录第一关的笔记

码字不易，对你有帮助的话，欢迎鼓励呀~