渗透入门必备-DVWA靶场搭建教程（超详细），零基础入门到精通，看这一篇就够了！

最新推荐文章于 2025-11-09 17:24:54 发布

原创最新推荐文章于 2025-11-09 17:24:54 发布 · 1.4k 阅读

14 ·

CC 4.0 BY-SA版权

文章标签：

#web安全 #安全 #网络安全 #计算机 #网络

网络安全专栏收录该内容

450 篇文章

订阅专栏

前言

DVWA（Damn Vulnerable Web Application）是一个用来进行安全脆弱性鉴定的PHP/MySQL Web 应用，旨在为安全专业人员测试自己的专业技能和工具提供合法的环境，帮助web开发者更好的理解web应用安全防范的过程。

DVWA 一共包含了十个攻击模块，分别是：Brute Force（暴力（破解））、Command Injection（命令行注入）、CSRF（跨站请求伪造）、- File Inclusion（文件包含）、File Upload（文件上传）、Insecure CAPTCHA （不安全的验证码）、SQL Injection（SQL注入）、SQL Injection（Blind）（SQL盲注）、XSS（Reflected）（反射型跨站脚本）、XSS（Stored）（存储型跨站脚本）。包含了 OWASP TOP10 的所有攻击漏洞的练习环境，一站式解决所有 Web 渗透的学习环境。

另外，DVWA 还可以手动调整靶机源码的安全级别，分别为 Low，Medium，High，Impossible，级别越高，安全防护越严格，渗透难度越大。一般 Low 级别基本没有做防护或者只是最简单的防护，很容易就能够渗透成功；而 Medium 会使用到一些非常粗糙的防护，需要使用者懂得如何去绕过防护措施；High 级别的防护则会大大提高防护级别，一般 High 级别的防护需要经验非常丰富才能成功渗透；最后 Impossible 基本是不可能渗透成功的，所以 Impossible 的源码一般可以被参考作为生产环境 Web 防护的最佳手段

需要的东西：

1.DVWA下载GitHub下载地址: https://github.com/digininja/DVWA

2.小皮面板安装

https://www.xp.cn/phpstudy

话不多说，让我们开始搭建叭！！！

第一步：环境搭建

进入小皮面板（phpstudy）官网

点击下载phpstudy v8.1

下载成功后解压到指定目录，然后双击phpstudy安装程序进行安装

开始安装

安装完成

打开面板，启动apache跟mysql服务

第二步，下载dvwa靶场

点击Code，选择下载压缩包

下载后解压到指定目录，然后重命名文件夹为DVWA

第三步，打开小皮面板添加文件目录

点击网站，点击管理

点击根目录

我们会进到这个页面

这时候把DVWA文件夹放进来

然后访问网站：localhost/DVWA（其实就是面板里的本地访问地址）

会出现这个页面

这里告诉我们，系统错误，需要先将config/config.inc.php.dist复制一份，修改文件名为config.inc.php

具体操作为访问刚刚我们放到网站根目录下的DVWA文件，然后进入config文件夹

将config.inc.php.dist复制一份，然后重命名为config.inc.php

第四步，修改配置文件内容

回到小皮面板，点击数据库，查看用户名跟密码。这里可以看见，我的用户名跟密码都是root（后续有需求自己改）

最后一步，修改config.inc.php文件

将

D V W A [ ′ d b u s e r ′ ] = g e t e n v ( ′ D B U S E R ′ ) ? : ′ d v w a ′ ; _DVWA[ ‘db_user’ ] = getenv(‘DB_USER’) ?: ‘dvwa’; DVWA[′dbuser′]=getenv(′DBUSER′)?:′dvwa′;_DVWA[ ‘db_password’ ] = getenv(‘DB_PASSWORD’) ?: ‘p@ssw0rd’;

修改成

D V W A [ ′ d b u s e r ′ ] = g e t e n v ( ′ D B U S E R ′ ) ? : ′ r o o t ′ ; _DVWA[ ‘db_user’ ] = getenv(‘DB_USER’) ?: ‘root’; DVWA[′dbuser′]=getenv(′DBUSER′)?:′root′;_DVWA[ ‘db_password’ ] = getenv(‘DB_PASSWORD’) ?: ‘root’;

然后保存

接下来注释掉第27、28行，并在第29行添加：

D V W A [ ′ r e c a p t c h a p u b l i c k e y ′ ] = ′ 6 L d J J l U U A A A A A H 1 Q 6 c T p Z R Q 2 A h 8 V p y z h n f f D 0 m B b ′ ; _DVWA[ ‘recaptcha_public_key’ ] = ‘6LdJJlUUAAAAAH1Q6cTpZRQ2Ah8VpyzhnffD0mBb’; DVWA[′recaptchapublickey′]=′6LdJJlUUAAAAAH1Q6cTpZRQ2Ah8VpyzhnffD0mBb′;_DVWA[ ‘recaptcha_private_key’ ] = ‘6LdJJlUUAAAAAM2a3HrgzLczqdYp4g05EqDs-W4K’;

这里其实很多博主都没讲，为什么要这样做，我这里解释一下：

为什么要注释掉原环境变量配置？1. 简化本地测试环境配置原设计意图：原配置通过 getenv() 从环境变量中读取 reCAPTCHA 密钥，目的是实现敏感信息与代码分离（如生产环境中的密钥管理）。

本地测试痛点：但在本地搭建 DVWA 漏洞演练环境时，多数用户不需要真实 reCAPTCHA 服务，且注册 Google reCAPTCHA 账号并生成密钥会增加额外步骤。

解决方案：注释掉环境变量配置，改为硬编码密钥，绕过密钥申请流程，直接启用 CAPTCHA 功能。