DVWA靶场环境搭建


前言

DVWA介绍:
在近些年网络安全的高速发展中,初学者已经很难找到一个网站进行渗透了,曾几何时,一个漏洞,一个工具就可以在网上找到很多有漏洞的网站去体验,当然渗透一个未经授权的系统是非法的。因此,为了能够较为真实地学习Web渗透的各种技术,就需要找一个专门用于学习的Web演练平台,人们将这种用于练习渗透的平台称为“靶场”。

DVWA可以进行SQL注入、XSS、CSRF、文件上传等漏洞的演练,由于该系统提供了多个安全演练级别,因此可以逐步地来提高Web渗透的技术。DVWA是一套开源的系统,在练习Web渗透技术的同时,也可以通过阅读源码学习到对于各种漏洞的安全防护编码。

DVWA是由PHP和MySQL开发的,因此首先需要在系统中搭建一个支持PHP的Web服务器。网上有很多支持PHP和MySQL的Web服务器集成环境,比如Wamp、phpStudy等,这里推荐使用phpStudy,该软件支持多个Apache、MySQL、PHP的版本,切换也非常方便。phpStudy直接下载安装即可使用。下载安装启动后如图1所示。

一、PHPStudy搭建

  1. 官网下载8.x安装包(选择和系统对应的版本)

官网:https://www.xp.cn

  1. 直接点击就可安装,步骤跳过

  2. 安装完成后,打开软件,点击启动
    在这里插入图片描述

  3. 在浏览器地址栏中输入localhost或127.0.0.0,如果出现如下则正常

在这里插入图片描述
  1. 启动Apache和mysql服务
在这里插入图片描述 mysql不能启动的参考这边博客https://blog.youkuaiyun.com/m0_55887872/article/details/121956192

二、 DVWA靶机配置

  1. 进入官网,点击download,下载响应靶机包(http://www.dvwa.co.uk)

  2. 解压并修改文件名称为DVWA后放入 …/phpstudy_pro/WWW文件夹下

  3. 修改配置文件
    DVWA文件的config文件夹下的config.inc.php.dist文件, 将".dist"后缀删除,并修改其中内容,mysql数据库用户名,密码,修改完成后保存)
    在这里插入图片描述

  4. 在浏览器键入localhost/DVWA,进入页面,点击最下方的创建数据库
    在这里插入图片描述

  5. 创建完成便可进行登录
    在这里插入图片描述

初始 用户名:admin 密码:password

  1. 登录成功后就可以进入靶场了
    在这里插入图片描述
DVWA(Damn Vulnerable Web Application)是一款用于学习和实践常见Web漏洞的工具,其设计初衷是为了让安全研究人员能够更好地理解这些漏洞的工作原理及其潜在影响。对于DVWA靶场,默认的登录凭据通常设置为简单的组合以便于访问。 默认情况下,DVWA靶场的账号和密码均为 `root`[^1]。然而,在实际操作过程中,如果已经更改过默认密码,则需要通过重置或者查看配置文件来恢复原始凭据。此外,在某些在线版本或特定环境中,可能还会提供额外的提示信息以帮助用户找回忘记的密码[^5]。 当涉及到具体实例时,比如 CSRF 漏洞测试场景下提交表单数据包中的新旧密码字段值可以作为参考依据之一;例如在 DVWA 的 CSRF 功能模块中有如下 URL 参数展示了如何修改账户密码至 "123456"[^2]: ```plaintext http://www.dvwa.com/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change&user_token=7732854e8c3912dd284538ed7533fe51# ``` 另外值得注意的是,如果你正在运行本地部署版 DVWA 并按照教程指南进行了相应调整之后再尝试登录的话,那么先前设定的新密码将会生效而不是继续沿用初始状态下的 root/root 组合形式了。就像这里提到的一个例子那样将新的密码设为了 '123'[ ^3 ]: ```plaintext http://127.0.0.1/dvwa/vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change# ``` 最后提醒一下关于搭建环境前的一些注意事项:确保安装路径不含任何特殊字符如中文以及空格等以免引发不必要的麻烦[^4]。 ###
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值