首先搭建好lamp環境,如沒配好參見「linux+apache+mysql+php配置教程」
或者使用官方推薦的xampp:
官網:2.2 解壓安裝
unzip dvwa-master.zip -d /usr/www/html2.3 啟用功能
dvwa上的漏洞,需要些刻意的配置才能被利用。訪問:如下,紅色表示不能正常使用:
問題:php function allow_url_include: disabled
處理:編緝/etc/php.ini將allow_url_include值由off改為on
問題:php module gd: missing
處理:yum install -y php-gd
問題:recaptcha key: missing
處理:編緝dvwa/config/config.inc.php
配置$_dvwa[ 'recaptcha_public_key' ] = '6ldk7xitaazzaajqtfl7fu6i-0apl8khhieat_yjg';
配置$_dvwa[ 'recaptcha_private_key' ] = '6ldk7xitazzaal_uw9yxvuopoihpzlfw2k1n5nvq';
問題:unable to connect to the database
處理:編緝dvwa/config/config.inc.php,將$_dvwa[ 'db_password' ]的值改成自己設的資料庫root賬號的密碼
重啟httpd(service httpd restart)重新整理頁面如下圖:
點選上圖中的create/reset database後會建立資料庫,完後自動跳轉登入頁面。
3.1 登入dvwa
dvwa登入頁面(改成自己主機ip):
預設使用者名稱密碼是:admin/password
3.2 介面介紹
登入後頁面如下圖,左側是漏洞選單,選擇相應漏洞即進入存在該漏洞的頁面。
3.3 滲透學習(以sql injection為例)
進入「sql injection」頁面,如下圖所示
「user id」那個框顯然是注入的框了,但是我們就是小白,就不懂怎攻擊,怎麼辦呢?
練習題不會寫,那就直接看答案啊。點選頁面右下角「view help」就可以檢視。(view source是檢視當前實現submit查詢這個功能的php源**)
在上圖中點選「view help」,就會開啟如下介面。其中黑條處就是注入**(滑鼠選中就可以看到是什麼內容了)。
3.4 切換編碼安全等級
dvwa編碼有「low/medium/high/impossible」四個等級;其中impossible級表示不存在漏洞,無法攻擊。
即比如如果dvwa配置為impossible級,那麼3.3中的注入頁面是沒法注入的;或者反過來,如果你用各種方法都沒法攻擊dvwa,那要看看是不是把dvwa配置為了impossible。
我們可以在頁面右下角的」security level「得知當前dvwa配置的安全等級,然後可以通過」dvwa security「配置dvwa的安全等級。
參考:
dvwa如何開啟 DVWA安裝教程
一 dvwa安裝所需環境 net framework 3.5 php mysql 注 不需要單獨安裝上述軟體,後文中有描述整合的軟體 二 安裝包 1,xampp 2,dvwa 注 本文使用的是xampp,網上描述使用wampserver也可以 三 安裝過程 注意 首先要安裝apache和mysql服...
Ionic安裝配置教程
npm install g ionic npm install g cordova ionic start myproject cd myproject ionic platform add android ionic build android ionic emulate android buil...
Python安裝配置教程
先看下安裝配置流程 安裝python相關包,文章末尾我附上乙個檔案requirements.txt,將該檔案放在任何目錄下,然後在此目錄下cmd開啟該檔案,最後執行語句 pip install r requirements.txt 這句話表示從txt檔案中讀取要安裝的python包。注意 以上是在l...