DVWA靶场搭建:Apache、MySQL、PHP、DVWA

最近为了能够较为真实地学习Web渗透的各种技术,就想着自己搭建一个专门用于学习的Web演练平台--DVWA"靶场"。

DVWA可以进行暴力(破解)、命令行注入、跨站请求伪造、文件包含、文件上传、不安全的验证码、SQL注入、SQL盲注、弱会话ID、XSS漏洞(DOM型跨站脚本、反射型跨站脚本、 存储型跨站脚本)等漏洞的演练,由于该系统提供了多个安全演练级别,因此可以逐步地来提高Web渗透的技术。DVWA是一套开源的系统,在练习Web渗透技术的同时,也可以通过阅读源码学习到对于各种漏洞的安全防护编码。

在网上搜了一圈发现大多都是PhpStudy+DVWA这种配置,由于主机上已经安装过Mysql,所以就想着单独安装Apache,然后配置关联Mysql和DVWA。

一、准备工作:

1、Apache:官网上下载最新的文件;

2、Mysql:官网上下载最新的安装包;

3、PHP:官网上下载最新的文件;

4、DVWA:https://github.com/digininja/DvWA/archive/master.zip

二、安装配置

Apache 配置步骤

  • 修改conf目录下httpd.conf根目录配置:Define SRVROOT "F:/Apache24";
  • CMD进入到bin目录下,使用httpd -t ,检查配置文件是否合法;
  • CMD进入到bin目录下,执行httpd -k install -n 自定义的访问名;
  • CMD进入到bin目录下,执行net start apache 或者执行httpd -k start -n apache启动服务;
  • 启动后面板控制如图
  • 通过浏览器访问http://localhost显示It Works!即部署成功。

PHP安装配置

  • 复制一份php.ini-development,重命名php.ini
  • 修改配置extension_dir = "F:/你自己的主机路径/php/ext"

MySQL安装配置

  • 文件解压后将bin目录添加进系统环境变量

  • 进目录建配置文件my.ini

    [mysqld]

    设置3306端口

    port=3306

    设置mysql的安装目录

    basedir=D:/本地服务安装路径/mysql ----------是本地的文件路径-------------

    设置mysql数据库的数据的存放目录

    datadir=D:/本地服务安装路径/data ---------创建data文件夹-------------

    允许最大连接数

    max_connections=200

    允许连接失败的次数。

    max_connect_errors=10

    服务端使用的字符集默认为utf8mb4

    character-set-server=utf8mb4

    创建新表时将使用的默认存储引擎

    default-storage-engine=INNODB

    默认使用"mysql_native_password"插件认证

    #mysql_native_password
    default_authentication_plugin=mysql_native_password
    [mysql]

    设置mysql客户端默认字符集

    default-character-set=utf8mb4
    [client]

    设置mysql客户端连接服务端时默认使用的端口

    port=3306
    default-character-set=utf8mb4

三、关联配置

1、修改 Apache24\conf\目录下的httpd.conf 配置,让Apache 和 PHP协同工作,修改默认的索引,以支持PHP:添加index.php

<IfModule dir_module>
    DirectoryIndex index.html index.php
</IfModule>

2、开启 rewrite 功能:将下面两行代码前面的 # 去掉:

LoadModule rewrite_module modules/mod_rewrite.so
LoadModule setenvif_module modules/mod_setenvif.so

3、如果是PHP7,需要添加一下配置:

#php7
LoadModule php7_module F:/本地路径/php/php7apache2_4.dll
PHPIniDir F:/本地路径/php/php.ini
AddType application/x-httpd-php .php .html #声明.php和.html的文件能执行PHP程序
AddType application/x-httpd-php-source .phps

4、检查配置是否生效,添加文件查看phpinfo

<?php
	phpinfo();
?>

5、重启Apache服务,访问http://localhost/1.php页面显示phpinfo则成功

6、修改PHP配置php.ini,去掉前面的;使php支持mysql。

extension=mysqli
;extension=oci8_12c  ; Use with Oracle Database 12c Instant Client
;extension=odbc
;extension=openssl
;extension=pdo_firebird
extension=pdo_mysql

7、重启Apache服务,检查phpinfo页面,更新mysql相关API扩展即配置成功。

8、解压DVWA文件后,运行database目录下mysql脚本(或者后面部署DVWA后从页面导航创建),创建测试数据。

四、DVWA安装配置

1、将dvwa压缩包解压到apache\htdocs目录下;

2、复制dvwa/config目录里config.inc.php.dist重命名为config.inc.php,修改配置文件去连接我们前面创建好的数据库。

$_DVWA = array();
$_DVWA[ 'db_server' ]   = getenv('DB_SERVER') ?: '127.0.0.1';
$_DVWA[ 'db_database' ] = 'dvwa';
$_DVWA[ 'db_user' ]     = 'root';
$_DVWA[ 'db_password' ] = 'root';
$_DVWA[ 'db_port']      = '3306';

3、重启Apache服务,通过浏览器访问http://localhost/dvwa显示登录页面即搭建成功。

4、根据测试账号登录即可开始安全测试学习。

|---------|----------|
| 账户 | 密码 |
| admin | password |
| gordonb | abc123 |
| 1337 | charley |
| pablo | letmein |
| smithy | password |

五、其他问题

1、首次登陆DVWA提示reCAPTCHA key: Missing解决方法

编辑 dvwa/config/config.inc.php这个配置文件,给下面两个Key加上值。

$_DVWA[ 'recaptcha_public_key' ] = '6LdJJlUUAAAAAH1Q6cTpZRQ2Ah8VpyzhnffD0mBb';
$_DVWA[ 'recaptcha_private_key' ] = '6LdJJlUUAAAAAM2a3HrgzLczqdYp4g05EqDs-W4K';

key自动生成地址:https://www.google.com/recaptcha/admin/create

相关推荐
独行soc3 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍06-基于子查询的SQL注入(Subquery-Based SQL Injection)
数据库·sql·安全·web安全·漏洞挖掘·hw
独行soc5 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍08-基于时间延迟的SQL注入(Time-Based SQL Injection)
数据库·sql·安全·渗透测试·漏洞挖掘
Clockwiseee5 小时前
php伪协议
windows·安全·web安全·网络安全
黑客Ash6 小时前
安全算法基础(一)
算法·安全
云云3216 小时前
搭建云手机平台的技术要求?
服务器·线性代数·安全·智能手机·矩阵
云云3216 小时前
云手机有哪些用途?云手机选择推荐
服务器·线性代数·安全·智能手机·矩阵
xcLeigh7 小时前
网络安全 | 防火墙的工作原理及配置指南
安全·web安全
白乐天_n7 小时前
腾讯游戏安全移动赛题Tencent2016A
安全·游戏
光路科技8 小时前
八大网络安全策略:如何防范物联网(IoT)设备带来的安全风险
物联网·安全·web安全
saynaihe8 小时前
安全地使用 Docker 和 Systemctl 部署 Kafka 的综合指南
运维·安全·docker·容器·kafka