最新Docker搭建DVWA和SQLi-LABS漏洞练习平台

本文选自《web安全攻防渗透测试实战指南（第2版）》

搭建DVWA

DVWA是一款开源的渗透测试漏洞练习平台，内含XSS、SQL注入、文件上传、文件包含、CSRF和暴力破解等漏洞的测试环境。

可以在Docker Hub上搜索DVWA，有多个用户共享了搭建好的DVWA镜像（注意，有些镜像可能存在后门），此处选择镜像——sagikazarmark/dvwa，安装命令如下：

docker pull sagikazarmark/dvwa
docker run -it -p 8001:80 sagikazarmark/dvwa

安装界面如图2-6所示。

图2-6

笔者的IP地址是10.211.55.6，所以通过访问10.211.55.6:8001（127.0.0.1也是本机IP地址，所以也可通过127.0.0.1:8001访问）就可以访问DVWA的界面，如图2-7所示。

图2-7

用户名和密码分别为admin和password，数据库的用户名和密码分别为root和p@ssw0rd。第一次登录平台后，需要单击“Create/Reset Database”按钮创建数据库，然后单击“login”按钮重新登录，之后就可以测试平台里的漏洞了，如图2-8所示。

图2-8

搭建SQLi-LABS

SQLi-LABS是一个学习SQL注入的开源平台，共有75种不同类型的注入，GitHub仓库为Audi-1/sqli-labs。此处选择Docker镜像——acgpiano/sqli-labs，安装命令如下：

docker pull acgpiano/sqli-labs
docker run -it -p 8002:80 acgpiano/sqli-labs

安装界面如图2-9所示。

图2-9

通过访问10.211.55.6:8002（127.0.0.1也是本机IP地址，所以也可通过127.0.0.1:8002访问），就可以访问SQLi-LABS的界面，如图2-10所示。

图2-10

然后单击“Setup/reset Database for labs”按钮创建数据库，就可以测试平台里的漏洞了，如图2-11所示。

图2-11