【Web 安全】DVWA 漏洞靶场搭建流程(win 系统下)
前言
近期,开设了《Web 渗透与防御》这门课程,里面涉及到许多 web 安全的漏洞项目。为了更好地让信安的初学者零基础快速上手 Web 安全,我选用了 DVWA 这个经典的漏洞靶场作为学生们的练习实训场。由于学生们都是初次接触 Web 安全的知识,如何搭建 DVWA 平台是需要每个同学都要学会和掌握的。下面,就结合实际操作,给大家整理了一份详细的 DVWA 漏洞靶场的搭建流程。
准备工作
1、phpStudy 软件下载
由于 DVWA 是基于 PHP 语言进行编写的漏洞案例,所有我们要提供能支持 php 语言的环境,为了更加方便的搭建好 web 服务器,我们选用了 phpStudy 这个集成的软件。通过安装 phpstudy 软件,我们可以一键完成 apache、mysql、php 的安装和配置。具体的软件下载路径:https://www.xp.cn/。
2、DVWA 源码下载
DVWA(Damn Vulnerable Web Application)一个用来进行安全脆弱性鉴定的 PHP/MySQL Web 应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助 web 开发者更好的理解 web 应用安全防范的过程。DVWA 的下载地址为:
由于 DVWA 官网经常访问不了,大家可以从其他的下载地址里面进行下载。
环境搭建
1、phpStudy 安装
在 windows 系统下,双击打开已经下载好的安装包,进行安装。可根据个人情况选择软件的安装位置,最终安装结果如图所示。
启动 phpStudy,在【首页】模块中,分别启动 apache 和 mysql 两个服务器。如图所示。
然后,打开浏览器,输入网址:http://localhost/,如果显示如下页面,则表示 phpStudy 搭建的 web 服务器环境成功了。如图所示。
注意,我们之所以能够输入 localhost 这个地址,是因为在 phpstudy 安装时会给我们默认创建一个 localhost 的网站,可以看一下在 phpstudy 的【网站】模块中,有一个默认的网站。如图所示
2、DVWA 安装
把下载下来的 DVWA 的压缩包,解压到 phpstudy 目录下的 WWW 文件夹中,并重新命名为 dvwa。如图所示。注意,解压缩的时候,不要出现目录嵌套,否则可能访问不到。
打开浏览器,在浏览器地址中输入:http://localhost/dvwa,如果能够显示如下界面,则表示 DVWA 靶场安装成功。
靶场配置
在完成 DVWA 靶场安装之后,还需要进行相关参数设置,方可正常使用。具体要调整几个地方,下面一一罗列说明。
1、修改 DVWA 配置文件
根据安装后给出的错误提示,我们需要去修改 config 目录下的 config.inc.php.dist 文件。具体操作如下:找到 WWW 目录下 dvwa 中的 config 文件夹,即可看到 config.inc.php.dist 文件,重命名该文件为:config.inc.php。刷新网站后,页面展示结果如下。【该页面是 DVWA 的安装检查结果页】
2、开启 allow_url_include
根据上面的安装检查结果,我们可以看到有两处标红的地方,如图所示。
根据后面的提示,我们需要把 allow_url_include 设置为 on,具体操作为:打开 phpstudy 的安装目录,依次进入 Extensions/php/php7.3.4nts 目录下,打开 php.ini 配置文件,搜索 allow_url_include 字段,把 Off 修改为 On 即可。注意要使其生效,需要重启 apache。如图所示。
3、配置 ReCAPTCHA 的 key
打开 config.inc.php 配置文件,找到 ReCAPTCHA settings 进行密钥配置。由于需要去 googleg 官网申请,而目前国内是无法连接上去的,所以,此处这两个 key 可以随便填写,或者百度一下复制即可。当然,这个 key 只是用在不安全验证码这个漏洞上的,所以一般情况下可以忽略,等学习到该漏洞后再配置也可以。
4、配置数据库
由于 DVWA 安装时需要导入数据库信息,所以需要做数据库的配置连接。打开 phpstudy 可以看到,在【数据库】模块中,已经默认创建了一个 root 数据库,其中用户名和密码默认为 root。如图所示。
打开 config.inc.php 文件,找到 Database 变量配置字段,把其中的 db_user 和 db_password 的值分别修改为 root。如图所示。
靶场实现
在完成以上配置后,安装检查最终展示的所有字段的值,应该是绿色的。如图所示。
然后,点击最下面的“Create/Reset Databse”按钮,进行 DVWA 数据库的创建。在创建后稍等几秒钟,即可自动跳转到登录页面,如图所示。
DVWA 的登录名为:admin,密码为:password。输入后,即可进入靶场主页面。如图所示:
至此,完成了 DVWA 靶场的搭建。基于此靶场,我们可以学习各种的 Web 安全漏洞练习和训练。
版权声明: 本文为 InfoQ 作者【Geek_Angel】的原创文章。
原文链接:【http://xie.infoq.cn/article/848680c4c0adba95ff461aaff】。文章转载请联系作者。
评论