DVWA介绍
DVWA 一共包含了十个攻击模块,分别是:Brute Force(暴力破解)、Command Injection(命令行注入)、CSRF(跨站请求伪造)、File Inclusion(文件包含)、File Upload(文件上传)、Insecure CAPTCHA (不安全的验证码)、SQL Injection(SQL注入)、SQL Injection Blind(SQL盲注)、XSS Reflected(反射型跨站脚本)、XSS Stored(存储型跨站脚本)。包含了 OWASP TOP10 的所有攻击漏洞的练习环境,一站式解决所有 Web 渗透的学习环境。
DVWA 还可以手动调整靶场源码的安全级别,分别为 Low,Medium,High,Impossible,级别越高,安全防护越严格,渗透难度越大。
一般 Low 级别基本没有做防护或者只是最简单的防护,很容易就能够渗透成功;而 Medium 会使用到一些非常粗糙的防护,需要使用者懂得如何去绕过防护措施;High 级别的防护则会大大提高防护级别,一般 High 级别的防护需要经验非常丰富才能成功渗透;
Impossible 等级几乎是不可能渗透成功的,所以 Impossible 的源码一般可以被参考作为生产环境 Web 防护的最佳手段。
DVWA下载
地址:https://github.com/digininja/DVWA
下载后解压即可。
注意:里面的low.php会误报
DVWA安装
- 首先下载phpstudy,下载地址为:
https://www.xp.cn/
安装后,打开phpstudy,打开本地网站的根目录:
将下载好的源代码解压,然后拖到根目录下并打开:
找到config文件并打开:
将config.inc.php.dist改为config.inc.php,然后使用编辑器打开对数据库的配置信息进行修改:
修改成和phpstudy中数据库对应的:root
一键启动和运行MySQL和Apache:
然后在浏览器输入127.0.0.1/解压的dvwa的文件夹名称:
127.0.0.1/DVWA-master
点击创建数据库,然后可能会遇到2个问题:
第一个问题:
Could not connect to the database service.
Please check the config file.
Database Error #2054: The server requested authentication method unknown to the client.
意思就是数据库服务没有启动,让我核对一下。
好的,在phpstudy中也确实看到是没有启动的。问题嘛,我也猜到了,之前我安装过一个mysql。
停止该服务后,删除该服务即可:
进入本地的MySQL文件夹,我的文件名是mysql-8.0.26-winx64,进入后执行命令
sc delete mysql
来删除服务。
这就好了。
再来看下dvwa的状态,出现successful 就表示安装成功了:
进行登录,现在靶场已经全部搭建完成,DVWA靶场登录账号密码为 admin password:
参考
解决phpstudy无法启动MySQL服务(需提前备份好数据库数据)
