专栏首页网络攻防实战知识交流DVWA笔记(一)----环境搭建 "渗透测试学习笔记"

DVWA笔记(一)----环境搭建 "渗透测试学习笔记"

前言

在国庆这么美好的假期,作为一个web萌新,我决定在实验室度过,来学习下DVWA(Damn Vulnerable Web Application),那么这玩意是个啥呢?DVWA是一款渗透测试的练习系统,也就是我们的测试靶机,很适合入门,要为以后的挖洞致富之路打好基础呀。

DVWA简介

DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。

DVWA共有十个模块,分别是

Brute Force(暴力(破解))

Command Injection(命令行注入)

CSRF(跨站请求伪造)

File Inclusion(文件包含)

File Upload(文件上传)

Insecure CAPTCHA (不安全的验证码)

SQL Injection(SQL注入)

SQL Injection(Blind)(SQL盲注)XSS(Reflected)(反射型跨站脚本)

XSS(Stored)(存储型跨站脚本)

需要注意的是,DVWA 1.9的代码分为四种安全级别:Low,Medium,High,Impossible。初学者可以通过比较四种级别的代码,接触到一些PHP代码审计的内容。

环境搭建

安装PHP集成环境

废话不多说,直接开始操作。首先准备一个win7虚拟机

接着,我这里使用的是phpstudy2016,使用起来十分方便

phpstudy 下载链接

https://pan.baidu.com/wap/init?surl=7PUeopWB8HqB4lyyw_hIDg

密码:rv4q

下载后直接运行 phpStudy20161103.exe

安装过程也十分简单,直接下一步到底就好,随后会出现初始化提示,选择“是”

这里可能会有一个小插曲,可能会缺少vc9.0 x86 这里给个下载链接,直接下载运行安装就好

vc9.0 x86 下载链接

https://pan.baidu.com/wap/init?surl=NFzTQDukZgSn2gP93tRY0Q

密码:o0j7

看到以下界面就说明安装成功了

安装DVWA

DVWA 官网

http://www.dvwa.co.uk/

或者GitHub上下载源码

GitHub源码

https://github.com/ethicalhack3r/DVWA

把下载好的DWVA的压缩包,解压在C:\phpStudy\WWW中(因为我将phpStudy安装在C盘,所以是C:\phpStudy)

接下来需要配置DVWA链接数据库,请打开config文件夹,打开config.inc.php。

需要把db_password 修改成 root ,因为刚安装好的集成环境默认的MYSQL 链接用户名和密码为 root root。修改后别忘了保存。

登陆DVWA

因为是本地渗透测试环境,本地直接访问就好了,浏览器访问 http://127.0.0.1/DVWA-master/index.php

这里可能会出现另外一个小插曲,会提示你config.inc.php不存在

这是到config文件夹下,点击组织-文件夹和搜索选项

在查看选项卡中,将隐藏已知文件类型的扩展名取消勾选

而后将config文件重命名为config.inc.php

这时重新访问就好了,进行创建

创建成功,直接跳转到登陆界面

账号 admin 密码 password

成功,完结撒花

后记

这是我第一次写系列的文章,争取在国庆时间把DVWA摸个透,也希望能借此文章,帮助大家一起来学习web知识。

本文分享自微信公众号 - 无级安全(wujisec),作者:De4thStr0ke

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-10-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 带妹玩转vulnhub(十)

    从端口中可以看到很多信息,目标服务器开起来三个web服务,我们优先查看泄露信息最多的那个也就是8081端口,这是一个Joomlal开源框架,我们可以使用Joom...

    用户5878089
  • Metinfo 6.1.3 前台XSS漏洞分析 CVE-2018-20486

    最近一直在刷这个cms的漏洞,主要是为了让自己维持一点代码量,不至于生疏,好久没有都没有大块的时间做安全了,和自己的精力有关,也和自己的心态有关,不管怎样,还是...

    用户5878089
  • 带妹玩转vulnhub(六)

    小编语:国庆七天的带妹系列文章已经第六篇了,也不知道哪位大佬带到妹子了,带不到妹子的师傅就留在宿舍学习吧,除了带妹系列的vulnhub,接下来退出更适合新手的d...

    用户5878089
  • Android消息推送:手把手教你集成小米推送

    继承自PushMessageReceiver(抽象类,继承自BroadcastReceiver),其作用主要是:

    Carson.Ho
  • 使用PHP抓取Bing每日图像并为己所用

    夏时
  • 一段成功通过SAP云平台IDP SAML验证的响应字段分析

    版权声明:本文为博主汪子熙原创文章,未经博主允许不得转载。 https://jerry.blog.csdn.net/article/detai...

    Jerry Wang
  • Python大牛抓包获取蜻蜓音频信息,高清音质电台一网打尽!

    云飞
  • ES集群7.3.2版本在线扩容Data节点

    接到生产业务需求,需要在线扩容ES集群且不能影响数据安全性,经过对Elasticsearch角色的分析,发现直接扩容Data节点最简单而且能满足需求。 备注:原...

    三杯水Plus
  • MVC、MVP以及Model2[上篇]

    对于大部分面向最终用户的应用来说,它们都需要具有一个可视化的UI与用户进行交互,我们将这个UI称为视图(View)。在早期,我们倾向于将所有与视图相关的逻辑糅合...

    蒋金楠
  • Openstack侦探故事2

    在Episode1的Openstack侦探故事中,我被叫到犯罪现场:我们的基于OpenStack的私有云中心器件。什么人或什么东西造成了我们的虚拟负载均衡可以拍...

    ZHaos

扫码关注云+社区

领取腾讯云代金券