Kali搭建DVWA——Web靶场

▣ 博主主站地址：微笑涛声 【www.cztcms.cn】

一.DVWA介绍

1、DVWA简介

DVWA是一款基于PHP和MYSQL开发的web靶场练习平台，集成了常见的web漏洞如sql注入,XSS，密码破解等常见漏洞。旨在为安全专业人员测试自己的专业技能和工具提供合法的环境，帮助web开发者更好的理解web应用安全防范的过程。

2、DVWA模块

DVWA共有十个模块：

• Brute Force（暴力（破解））

• Command Injection（命令行注入）

• CSRF（跨站请求伪造）

• File Inclusion（文件包含）

• File Upload（文件上传）

• Insecure CAPTCHA （不安全的验证码）

• SQL Injection（SQL注入）

• SQL Injection（Blind）（SQL盲注）

• XSS（Reflected）（反射型跨站脚本）

• XSS（Stored）（存储型跨站脚本）

3、DVWA 安全级别

一般情况下，DVWA一共有四种安全级

Low、Medium、High、Impossible

二、DVWA的搭建

# Github项目地址：
https://github.com/digininja/DVWA

可以在很多系统中搭建DVWA，kali搭建是最简单的，因为kali内置了apache、mysql、php环境，不用自己去安装这些基础环境，可以直接拉取github的项目文件到kali系统，配置好数据库，启动apache2即可。以下步骤也是按照官网提示来操作。

Github项目说明里面也提供了安装教学视频，由于是Youtube上的视频，可能很多小伙伴都看不了，我下载上传了，有兴趣的可以看看视频（全程英文无字幕）。

# 视频下载地址
https://oss.cztcms.cn/blog/videos/Installing_DVWA_in_Kali_Linux_2.mp4

1、打开kali的终端，使用root权限登录。

先将DVWA项目克隆到本地，如果有图上的报错，也可以手动下载压缩包，在上传到kali系统。

git clone https://github.com/digininja/DVWA.git

2、将DVWA解压，放到桌面。

3、将DVWA整个文件夹移动到/var/www/html/下，这个目录是apache2网站的根目录，可以使用http://ip/DVWA访问资源。

mv DVWA /var/www/html/

4、启动apache2；kali系统默认不会启动apache2，需要手动启动。

# 查看启动状态
service apache2 status 

# 启动apache2
service apache2 start 

5、浏览器访问http://1227.0.0.1，如果看到下图，证明apache2启动成功。

6、启动数据库mariadb，启动方式和apache2一样。

# 查看启动状态
service mariadb status 

# 启动mariadb
service mariadb start 

7、登录数据库，直接在终端中输入命令mysql，第一次登录无需密码。

8、创建DVWA的数据库，因为数据库用户不能直接使用root，所以也需要新建一个数据库用户用来管理DVWA库。这里创建的用户名是dvwa，密码是p@ssw0rd，和默认配置文件保持一致。

# 创建数据库dvwa
create database dvwa;

# 创建数据库用户dvwa，密码是p@ssw0rd
create user dvwa@localhost identified by 'p@ssw0rd';

# 分配权限，可以远程登录
grant all on dvwa.* to dvwa@localhost;

# 刷新权限
flush privileges;

9、重命名配置文件。

# 到/var/www/html/DVWA目录下
cd /var/www/html/DVWA

# 重命名配置文件
cp config/config.inc.php.dist config/config.inc.php

10、初始化数据库。

浏览器访问http://127.0.0.1/dvwa/setup.php，点击左下角的Create/Reset Database进行数据库初始化。

11、数据库初始化完成后会自动跳转到登录页面，输入用户名和密码即可安装完成。

用户名：admin
密码：password

12、可以直接在界面上修改安全等级