徐徐徐的博客

DVWA-WooYun是一个基于DVWA的PHP+Mysql漏洞模拟练习环境，通过将乌云主站上的有趣漏洞报告建模，以插件形式复现给使用该软件的帽子们，可以让乌云帽子们获得读报告体验不到的真实感，在实践的过程中可以无缝隙地深入理解漏洞的原理及利用方式 中英双字，如果您语文学的不好不必担心了，界面提示英文的（DVWA原厂），内容提示中英双字（后来觉得比较眼花，所以去掉了部分英文）mutillidaemutillidae是一个免费，开源的Web应用程序，提供专门被允许的安全测试和入侵的Web应用程序。

首先所有环境都按配好了，域名localhost 端口为80这个网站设置的根目录为C:\Users\Machenike\Desktop\phpstudy\phpstudy_pro_8.1.0.1_64bit_Green\phpstudy_pro\WWW即本地的地址物理路径，并且同步到hosts上浏览器对Localhost/sql 进行域名解析查找域名IP地址，这里的localhost就是本地域名，所以会解析成本地回环地址127.0.0.1-127.0.0.255，然后在本地直接找本地服务器寻求sql的htt

这是一个开源的漏洞环境项目，包含了很多不同的环境，是owaspbwa以后，漏洞种类多，环境丰富的一个靶场，并且收集的漏洞也比较新，适合作为一个长期的学习、实战靶场。这个在线靶场涵盖了大多数的web漏洞，跟DVWA的机制差不多，还有ctf题可做，个人认为是一个比较全的一个web漏洞靶场。推荐新手首选靶场，DVWA的目的是通过简单易用的界面来实践一些最常见的Web漏洞，这些漏洞具有不同的难度，是一个涵盖了多种漏洞一个综合的靶机。下载地址：https://github.com/Audi-1/sqli-labs。

upload-labs-master，是集合了文件上传中存在的大部分漏洞的一个靶场。

完成CMS安装后，导入sqlmap文件夹至虚拟机Kali Linux中root文件夹内(可在本机系统用Xftp软件实现)，此时sqlmap.py文件路径为root/sqlmap/,访问靶场。管理员姓名、登录密码可以自行设置。打开我们已经解压好的sqlmap文件夹（此时可以看到sqlmap.py文件，见下图），地址栏输入cmd，回车，打开命令提示符窗口。后续执行步骤与前面本地搭建靶场步骤相同的操作，只需将本地搭建靶场访问地址中的"localhost"替换为查询到的IP地址和端口。此时我们访问后台地址。

DVWA（Damn Vulnerable Web Application）一个用来进行安全脆弱性鉴定的PHP/MySQL Web 应用平台，旨在为网络安全专业人员测试自己的专业技能和工具提供合法的环境，帮助web开发者更好的理解web应用安全防范的过程。DVWA还可以手动调整靶机源码的安全级别，分别为Low，Medium，High，Impossible，级别越高，安全防护越严格，渗透难度越大。1.暴力破解（Brute Force）利用密码字典，使用穷举法猜解出用户口令。