如何快速地搭建一个有waf的靶场环境进行测试学习
实验环境:win7虚拟机,phpstudy,dvwa,安全狗apache WAF
dvwa网站搭建
1.安装phpstudy
启动apache 2.4.39和 MYSQL5.7.26应用
2.将dvwa源码放到网站根目录
3.对网站根目录下的dvwa源码进行修改
编辑C:\phpstudy_pro\WWW\DVWA\config\config.inc.php
修改数据库账号密码为root
修改php配置文件 允许进行远程文件包含。
重启apache服务
4.访问服务
进行网站初始化
登陆网站 用户名:admin 密码:password
5.系统初始化之后使用 SQL_Front 工具修改 dvwa 库下两个表的字符集校对为 utf8_general_ci ,防止后续出现乱码
重启服务
6.将dvwa难度切换到low
尝试进行sql注入
1' or 1=1 #
sql注入正常
7.虚拟机状态打个快照 方便和之后有WAF的情况对照
安装安全狗WAF
1.检查本地服务,看其中是否有apache服务:
2.针对无apache服务情况处理
(1)先停止phpstudy的apache服务
(2)复制phpstudy下 apache的路径
C:\phpstudy_pro\Extensions\Apache2.4.39\bin(3)以管理员身份运行cmd
(4)切换到apache目录
(5)执行以下命令
.\httpd.exe -k install -n apache2.4.39
(6)确认本地服务中已经有apache服务了
启动apache服务
此时phpstudy 的apache显示未启用 别管他 因为我们已经手动启动apache了
此时的dwva可正常访问
3.安装安全狗 要安装对应apache的安全狗
安装时会自动识别apache信息 点击确认
点击完成
打开运行安全狗
4.此时到dvwa靶场 切换难度为low
再次尝试sql注入
1' or 1=1 #
这次就会被安全狗waf拦截啦
5.再打个快照 防止环境被破坏 同时也需要和之前无waf情况对照
我发现我新建一个快照 上一个快照就没了
不知道大家有没有遇到这种情况 因为我测试的是只有这台win7虚拟机是这样 安装的其他虚拟机都是可以打多个快照的
