Web安全学习笔记之Kali部署DVWA和OWASPBWA

0x0 前言

kali安装完成,下面要进行实战操作了,喵~~(OWASPBWA请直接跳到第八部分)

#既然你诚心诚意的问了,我们就大发慈悲的告诉你!
#为了防止世界被破坏!
#为了守护世界的和平!
#贯彻爱与真实的邪恶!
#可爱又迷人的反派角色!
#武藏 小次郎
#我们是穿梭在银河的火箭队!
#白洞!白色的明天在等着我们!
#就是这样~喵~~~

停...停.....停车!

为了维护世界的和平,打靶的话当然是先需要练习,而DVWA就为我们提供了一个能在自己家里打靶的环境,不用到处煽风点火。

好了,进入教程。

0x1 获取dvwa安装包并解压

从Github获取dvwa压缩包:

wget https://github.com/ethicalhack3r/DVWA/archive/master.zip

已经存在本地了

解压并释放到指定文件夹 /var/www/html

unzip -o -d /var/www/html master.zip

进入到/var/www/html文件夹,把解压的文件夹DVWA-master重命名为dvwa

重命名

0x2 赋予dvwa文件夹相应权限

先停止apache2服务,以防万一,在终端输入:

service apache2 stop

赋予dvwa文件夹相应的755权限,接着在终端中输入:

chmod -R 755 /var/www/html/dvwa

赋予dvwa文件夹内文件相应的755权限,接着在终端中输入:

cd /var/www/html/dvwa/
chmod 755 hackable/uploads/
chmod 755 external/phpids/0.6/lib/IDS/tmp/phpids_log.txt
chmod 755 config/

0x3 配置Mysql数据库

 Kali2018默认是的MariaDB数据库,并不是Mysql,不能按照Mysql的配置来不然会报错

错误信息如下:

Could not connect to MySQL service.

Pls. check the config file.
Your database user is root,if you are using MariaDB, this will not work,pls. read the README.md file.

见下图:

开启MySQL服务,打开终端输入以下命令:

service mysql start

运行如下命令连接 MySQL ,默认是进入MariaDB,

mysql -uroot -p 

需要注意,此时需要输入的密码默认是空,不需要填写,直接Enter跳过即可

进入mysql,并将mysql的密码改为 password

use mysql;
update user set password=PASSWORD('xxxxxx') where User='root'; 

接着逐行进行如下命令行操作:

create user dvwa;
grant all on dvwa.* to dvwa@localhost identified by 'password';
flush privileges;
grant all on dvwa.* to 'dvwa'@'%';
flush privileges;

0x4 配置PHP

配置PHP,GD支持

apt-get install php-gd

修改php配置文件

找到 '' /etc/php/7.2/apache2/ '' 文件夹,用文档编辑器打开 '' php.ini '' 文件

更改如下两项:

''allow_url_include=Off'' 改为 ''allow_url_include=On''

''display_errors=Off'' 改为 ''display_errors=On''

进入到  /var/www/html/dvwa/config 文件夹,把配置模版文件config.inc.php.dist 复制一份 , 并命名为config.inc.php

右键,用文档编辑器打开该文件,配置 ‘ReCAPTCHA settings’,将谷】歌生成的keys分别填入如下部分(生成ReCAPTCHA请自行学习);

ReCAPTCHA需要找谷。歌配置,进入网址 https://www.google.com/recaptcha/admin/create 去生成新的ReCAPTCHA;

谷、歌端配置如下:

01

 02

03

继续修改这个文件,将内部的数据库链接配置修改,根据刚刚的设定,用户名是dvwa,密码是password

需要把如下部分改为dvwa和password

'db_user' = 'dvwa';
'db_password' = 'password';

0x5 启动apache2和mysql服务

命令行启动apache2和mysql服务

service apache2 start
service mysql start

 打开kaili的浏览器,地址栏输入 localhost/dvwa,就会跳转到如下界面:

设置界面

0x6 在DVWA界面配置数据库

 点击Create/Reset Database,进行DVWA的数据库配置

成功界面:

失败界面:(注意检查数据库配置和config文件内的配置)

0x7 登陆到DVWA

默认用户名和密码是admin/password

成功进入靶场!

0x8 虚拟机安装OWASPBWA靶机系统全家桶

OWASPBWA 是个靶机系统全家福,现在这些靶机系统全部被打包放到一个虚拟机镜像内,请在这里下载github),解压后用Vmware和VirtualBox直接打开就行;

然后在浏览器的地址栏输入地址,就能进入靶机网页端;

 下面已经罗列各种靶机系统,可以尽情实验了。

0x9 总结

整个配置期间会遇到各种问题,可以多多利用搜索引擎查找各方面的问题,涉及的问题有mysql问题,php配置问题等等。

还是不行的话请按照这个视频来做,需要梯子。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

扫码关注云+社区

领取腾讯云代金券