在window10下部署DVWA超详细步骤

前言

学习web渗透测试,必须要实践,像我这种初学者尤为必要。
正好Github上就有DVWA这样一个开源项目,供Web开发者了解常见安全问题。同时也为Web渗透测试初学者,提供了便利、合法的学习环境。
DVWA官网:http://www.dvwa.co.uk/
找到Download,下载得到一个压缩包。

部署DVAW并不麻烦,只要有phpstudy+DVWA,就可以搭建好目标。
下面分享我的部署经验,供大家参考,不足之处欢迎留言讨论~
然后就可以愉快的开始学习Web渗透测试中的骚操作了~(踩了一天的坑)

PS:我默认读这篇文章的朋友,有能力搜索和安装Burpsuit,phpstudy,SwitchHosts,安装软件问题不再赘述

一、环境

  • 系统:win10 64位
  • 浏览器:Chrome(版本73.x)
  • 目标服务器:phpstudy(官网最新)
  • 测试环境:DVWA(1.10)
  • 修改Hosts工具:Switch Hosts

二、步骤

1. 目标服务器及DVWA站点配置

1.1将DVWA放入指定文件夹

PS:解压缩得到的文件夹名字时“DVWA-master”,要把-master删掉

DVWA放置路径.jpg

1.2修改DVWA/config目录下的config文件为php

去除文件后缀.jpg
  • 去除php后面多余的后缀即可。

1.3修改config文件参数

  • 如图修改
    修改config参数.jpg

1.4修改phpstudy的php开关参数

  • 把参数开关列表中,最后三个全部勾上
    phpstudy里的php开关设置.jpg

1.5站点域名设置

  • 点击其他选项菜单,找到站点域名管理。
    把网站域名改为

www.dvwa.com

  • 这里随意改名,开心就好。
  • 网站目录选择:phpstudy\PHPTutorial\WWW\DVWA
  • 二级域名可以留空
  • 端口80
    php站点域名管理.jpg

最后别忘了点

  • “新增”
  • “保存设置并生成文件”

1.6设置系统hosts

打开SwitchHosts,末尾输入

127.0.0.1 www.dvwa.com

这样你在浏览器输入域名,就会打开DVWA的网站了

设置hosts.jpg

第一次使用SwirtchHosts,可能会遇到没有修改Hosts权限问题
请参考解决方案:
https://jingyan.baidu.com/article/624e7459b194f134e8ba5a8e.html

2. 系统代理/端口配置

2.1打开系统代理端口

  • 开始菜单——>设置——>网络和Internet——>代理
    如图所示,把localhosts;127.*;删掉,这样你才能抓包。
    不要勾选“请勿将代理服务器...”
    记得保存!!!!

系统代理及端口设置.jpg

保存这一步可以在你准备抓包的时候再执行。

2.2 我们现在可以先不保存,测试一下目标站点能不能访问

  • 先启动Phpstudy
  • 然后在浏览器输入www.dvwa.com/DVWA/setup.php
DVWA设置及数据库创建.jpg
  • 创建数据库,然后会自动跳转到登陆页面
测试DVWA能否访问.jpg
  • 用户名admin;密码:password。进入如下页面
修改安全等级.jpg
  • 修改安全等级为Low

    修改难度等级2.jpg

  • Submit提交
    到这里,DVWA已经在你电脑里部署好,并且可以访问了。
    接下来就是抓包测试了

3. BurpSuit基本配置

Burpsuit端口及抓取目标筛选.jpg
  • 打开系统代理,启动phpstudy软件
    1.设置好Burpsuit监听端口
    2.选择抓取的目标网站域名

4. 抓包测试

终于最后一步了~
选择第一关,后台登陆用户名、密码爆破


选择第一关并测试能否抓包.jpg

可以看到,输入用户名和密码后,Burp成功截获报文。
利用这段请求报文,我们就可以利用Burp中的“Intruder”进行暴力登陆尝试,来获得正确的后台登陆的用户名和密码了


抓包成功.jpg

三、写在后面

部署已经完成,接下来就是一关一关的学习,和尝试了。
有空再记录第一关的笔记

码字不易,对你有帮助的话,欢迎鼓励呀~

你可能感兴趣的:(在window10下部署DVWA超详细步骤)