DVWA笔记（一）----环境搭建 "渗透测试学习笔记"

前言

在国庆这么美好的假期，作为一个web萌新，我决定在实验室度过，来学习下DVWA（Damn Vulnerable Web Application），那么这玩意是个啥呢？DVWA是一款渗透测试的练习系统，也就是我们的测试靶机，很适合入门，要为以后的挖洞致富之路打好基础呀。

DVWA简介

DVWA（Damn Vulnerable Web Application）是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用，旨在为安全专业人员测试自己的专业技能和工具提供合法的环境，帮助web开发者更好的理解web应用安全防范的过程。

DVWA共有十个模块，分别是

Brute Force（暴力（破解））

Command Injection（命令行注入）

CSRF（跨站请求伪造）

File Inclusion（文件包含）

File Upload（文件上传）

Insecure CAPTCHA （不安全的验证码）

SQL Injection（SQL注入）

SQL Injection（Blind）（SQL盲注）XSS（Reflected）（反射型跨站脚本）

XSS（Stored）（存储型跨站脚本）

需要注意的是，DVWA 1.9的代码分为四种安全级别：Low，Medium，High，Impossible。初学者可以通过比较四种级别的代码，接触到一些PHP代码审计的内容。

环境搭建

安装PHP集成环境

废话不多说，直接开始操作。首先准备一个win7虚拟机

接着，我这里使用的是phpstudy2016，使用起来十分方便

phpstudy 下载链接

https://pan.baidu.com/wap/init?surl=7PUeopWB8HqB4lyyw_hIDg

密码:rv4q

下载后直接运行 phpStudy20161103.exe

安装过程也十分简单，直接下一步到底就好，随后会出现初始化提示，选择“是”

这里可能会有一个小插曲，可能会缺少vc9.0 x86 这里给个下载链接，直接下载运行安装就好

vc9.0 x86 下载链接

https://pan.baidu.com/wap/init?surl=NFzTQDukZgSn2gP93tRY0Q

密码：o0j7

看到以下界面就说明安装成功了

安装DVWA

DVWA 官网

http://www.dvwa.co.uk/

或者GitHub上下载源码

GitHub源码

https://github.com/ethicalhack3r/DVWA

把下载好的DWVA的压缩包，解压在C:\phpStudy\WWW中（因为我将phpStudy安装在C盘，所以是C:\phpStudy）

接下来需要配置DVWA链接数据库，请打开config文件夹，打开config.inc.php。

需要把db_password 修改成 root ，因为刚安装好的集成环境默认的MYSQL 链接用户名和密码为 root root。修改后别忘了保存。

登陆DVWA

因为是本地渗透测试环境，本地直接访问就好了，浏览器访问 http://127.0.0.1/DVWA-master/index.php

这里可能会出现另外一个小插曲，会提示你config.inc.php不存在

这是到config文件夹下，点击组织-文件夹和搜索选项

在查看选项卡中，将隐藏已知文件类型的扩展名取消勾选

而后将config文件重命名为config.inc.php

这时重新访问就好了，进行创建

创建成功，直接跳转到登陆界面

账号 admin 密码 password

成功，完结撒花

后记

这是我第一次写系列的文章，争取在国庆时间把DVWA摸个透，也希望能借此文章，帮助大家一起来学习web知识。