DVWA ( Dam Vulnerable Web Application ) DVWA 是用 PHP + Mysql 编写的一套用于常规 WEB 漏洞教学和检测的WEB脆弱性测试程序。包含了 SQL 注入、 XSS 、盲注等常见的一些安全漏洞。Kali 已自带了平台所需的环境,所以搭建非常简单。
配置环境
开启 MySQL
service mysql start运行 mysql -u root 连接 MySQL 并设置 MySQL root 密码
mysql -u root
Welcome to the MariaDB monitor. Commands end with ; or \g.
Your MariaDB connection id is 43
Server version: 10.1.21-MariaDB-5+b1 Debian 9.0
Copyright (c) 2000, 2016, Oracle, MariaDB Corporation Ab and others.
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
MariaDB [(none)]> use mysql \\使用数据库 mysql
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A
Database changed
MariaDB [mysql]> update user set password=PASSWORD('xxxxxx') where User='root'; \\更改 root 密码为 xxxxxx
Query OK, 4 rows affected (0.00 sec)
Rows matched: 4 Changed: 4 Warnings: 0
MariaDB [mysql]> flush privileges; \\刷新 MySQL 的系统权限相关表
Query OK, 0 rows affected (0.00 sec)
MariaDB [mysql]> create database dvwa; \\创建数据库 dvwa
Query OK, 1 row affected (0.00 sec)
MariaDB [mysql]> quit \\退出
Bye配置 PHP
GD 支持
apt-get install php7.0-gd编辑 /etc/php/7.0/apache2/php.ini 修改 824 行 allow_url_include = Off 为 allow_url_include = On 保存退出
vim /etc/php/7.0/apache2/php.ini开启 Apache
service apache2 start下载 配置 DVWA
下载
wget https://github.com/ethicalhack3r/DVWA/archive/master.zip配置
mv master.zip /var/www/html
cd /var/www/html
unzip master.zip
mv DVWA-master dvwa
chown www-data:www-data /var/www/html/dvwa/hackable/uploads
chown www-data:www-data /var/www/html/dvwa/external/phpids/0.6/lib/IDS/tmp/phpids_log.txt
cd dvwa/config
vim config.inc.php \\编辑配置文件修改第 18 行 $_DVWA[ 'db_password' ] = 'p@ssw0rd'; 将p@ssw0rd改为你前面设置的 MySQL root 密码 如 xxxxxx ,保存退出。
打开浏览器输入 ip/dvwa/setup.php 如本机 127.0.0.1/dvwa/setup.php
点击 Create/Reset Database
输入Username admin Password password 登录
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。