【安全测试】DVWA靶场搭建

一、目的

本文主要记录在DVWA靶场搭建过程中的步骤和总结问题

二、环境准备

基本框架：PHPstudy + DVWA + linux

我的本地windows系统安装后，phpstudy的apache服务一直不停的重启，无法使用，所以我选择vbox里面的linux虚拟机上搭建这个靶场

虚拟机ip：1.2.3.102

最终搭建完成效果：http://1.2.3.102/DVWA/index.php

其中phpstudy部署完成后的访问页面为：http://1.2.3.102:9080/75220F#/home/soft/

三、步骤

3.1 phpstudy下载

　　下载地址：https://www.xp.cn

• windows选择对应版本的php study软件，点击下载即可
• linux版本选择对应的安装命令：yum install -y wget && wget -O install.sh https://notdocker.xp.cn/install.sh && sh install.sh

　　（linux安装分为docker和非docker的方式，对应的安装命令不同）

3.2 phpstudy安装

• windows版本下载后傻瓜式安装即可
• linux版本，在linux下执行安装命令，等待安装完成即可，安装完成会提示如下信息
• 注意！！因为我用虚拟机安装的，这里提示的内网地址是访问不了的，所以我改成了http://1.2.3.102:xxxx/7xxxxF这个地址来访问，问题解决）

3.3 phpstudy安装结果验证

上一步骤完成后，访问内网地址，进入phpstudy面板，也可以使用ssh工具中使用 xp 命令，来查看，面板状态，重启，关闭，修改面板密码，查看面板密码等。

 使用提示的用户名密码登录phpstudy的面板页面，安装基础软件；

选择LNMP方式，点击一键安装，安装ngnix和mysql等软件

 安装完成后，点击启动nignix和启动mysql，此时dvwa的发布基础环境已准备完成。

3.4 获取ngnix发布路径

接下来只需要将dvwa的服务放到ngnix路径下，重启ngnix服务，即可发布完成。

先查找ngnix的路径

在phpstudy面板的软件管理，找到ngnix，点击配置，查看最下面的配置信息，可以看到如下配置：

 进入linux服务器1.2.3.102的/usr/local/phpstudy/vhost/sys/ngnix路径，查看*.conf文件,可以找到更为详细的配置信息，如下

 至此，我们知道ngnix的发布路径在/www/admin/localhost_80/wwwroot/这个下面，下一步只需要将dwva服务放到这个目录即可。

3.5 DVWA下载及配置安装

下载地址：https://dvwa.co.uk/

拉到页面最下，点击download

解压下载下来的安装包，叫DVWA-master，改名为DVWA。

进入DVWA目录下的DVWA\config目录，去掉config.inc.php.dist的dist后缀，此时文件名为config.inc.php

修改config.inc.php的配置，主要修改用户名和密码

如果是window下安装的phpstudy，则DVWA的这个文件夹放置在phpstudy的安装目录下的WWW文件夹下即可。

如果是linux安装的phpstudy，则DVWA文件夹放置在ngnix或者apache服务的发布目录下，如上我们找到的路径/www/admin/localhost_80/wwwroot。
重启apache或者ngnix服务。
重启后访问DVWA首页。http://1.2.3.102/DVWA/index.php。这个ip地址是部署phpstudy的服务器地址。如果部署在localhost，用localhost也可。DVWA是文件夹名。

 3.6 DVWA使用

访问DVWA首页后，拉到页面最下，点击create database，

创建数据库，创建成功后会自动跳转到登录页面，此时用户密码一般为admin/password
到这里靶场就搭建成功啦！！

四、Troubshooting

4.1.靶场尝试注入时，输入错误时不报错

原因：DVWA的左下角显示的安全等级是impossible，将这个等级设置成其他级别即可

 设置方式：