一、靶场介绍
DVWA 一共包含了十个攻击模块,分别是:
Brute Force(暴力(破解))
Command Injection(命令行注入)
CSRF(跨站请求伪造)
File Inclusion(文件包含)
File Upload(文件上传)
Insecure CAPTCHA (不安全的验证码)
SQL Injection(SQL注入)
SQL Injection(Blind)(SQL盲注)
XSS(Reflected)(反射型跨站脚本)
XSS(Stored)(存储型跨站脚本)。
包含了 OWASP TOP10 的所有攻击漏洞的练习环境,一站式解决所有 Web 渗透的学习环境。
————————————————
二、环境准备
安装要求
- 操作系统:基于 Debian 的系统(Kali、Ubuntu、Kubuntu、Linux Mint、Zorin OS)
- 特权:以根用户身份执行
| 序号 | 系统 | ip |
| 1 | ubuntu | 192.16.33.163 |
三、DVWA脚本部署
1.下载脚本
wget https://raw.githubusercontent.com/IamCarron/DVWA-Script/main/Install-DVWA.sh2.赋权
chmod +x Install-DVWA.sh3.执行脚本
sudo ./Install-DVWA.sh完成安装后即可通过http://192.168.33.163/DVWA/访问(admin/password)
四、汉化(可选)
1.下载中文项目
git clone https://gitcode.com/gh_mirrors/dv/DVWA-Chinese2.替换配置文件
cp /var/www/html/DVWA/config/config.inc.php /var/www/html/DVWA-Chinese/config/3.数据库初始化
访问http://192.168.33.163/DVWA-Chinese/setup.php,点击"Create / Reset Database"按钮自动创建数据库结构并导入初始数据。
五、初始化配置中问题
1.reCAPTCHA key: Missing
编辑 dvwa/config/config.inc.php这个配置文件 $_DVWA[ 'recaptcha_public_key' ] = ''; $_DVWA[ 'recaptcha_private_key' ] = ''; 修改为 $_DVWA[ 'recaptcha_public_key' ] = '6LdJJlUUAAAAAH1Q6cTpZRQ2Ah8VpyzhnffD0mBb'; $_DVWA[ 'recaptcha_private_key' ] = '6LdJJlUUAAAAAM2a3HrgzLczqdYp4g05EqDs-W4K';2.Writable权限修复
# 1. 修复上传目录权限(核心) chown -R www-data:www-data /var/www/html/DVWA-Chinese/hackable/uploads/ chmod -R 775 /var/www/html/DVWA-Chinese/hackable/uploads/ # 2. 修复 PHPIDS 日志文件权限 chown www-data:www-data /var/www/html/DVWA-Chinese/external/phpids/0.6/lib/IDS/tmp/phpids_log.txt chmod 664 /var/www/html/DVWA-Chinese/external/phpids/0.6/lib/IDS/tmp/phpids_log.txt # 3. 修复配置目录权限 chown -R www-data:www-data /var/www/html/DVWA-Chinese/config/ chmod -R 775 /var/www/html/DVWA-Chinese/config/
)
