DVWA靶场
目录
PHP function display_startup_errors: disabled PHP function allow_url_include: disabled
靶场简介
作为初入茅庐的新手,第一个听说的靶场应该就是DVWA,部署简单安装完对应版本的PAM(PHP-Apache-MySQL),简单配置后就可以使用。
DVWA靶场包含了众多常见的Web漏洞,页面十分精简,将各种不同业务环境下的漏洞,抽象出来总结成一个集成靶场,使用起来也很方便,并且每个漏洞页面都可以查看目前的源码,在一定程度上可以提升、熟练代码的审计能力,可以说对新手非常的友好。
搭建DVWA靶场
搭建web靶场首先要搭建一个web服务,需要四样东西:
操作系统:windows,linux,macos等
中间件:用于处理数据的交互。常见的中间件由nginx,apache,iis等
数据库:mysql,sqlserver,Oracle,Access等
一种后端语言:php,python,java等
这四样凑齐挺麻烦的,推荐使用phpstudy
phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境。该程序不仅包括PHP调试环境,还包括了开发工具、开发手册等。
1.下载phpstaudy
下载之后进行安装,运行之后一路下一步,一定记得存放位置要改到一个可以找的到的位置
安装完成后,我们可以在phpstudy的文件目录找到phpStudy.exe,双击phpstaudy.exe运行(若是桌面有快捷方式直接点击即可)
打开如图所示
2. 下载DVWA
下载完解压到*\phpstudy_pro\WWW目录下,并且重命名为DVWA
WWW目录是phpstudy网站目录的默认根目录,需要将所有的站点文件放置在该目录下
进入DVWA的config文件夹下,将config.inc.php.dist 的.dist删掉
然后打开更改完的文件,第1项更改为root,将第2相的key填入
Site key:
6LdJJlUUAAAAAH1Q6cTpZRQ2Ah8VpyzhnffD0mBbSecret key:
6LdJJlUUAAAAAM2a3HrgzLczqdYp4g05EqDs-W4K
key可以自己生成,地址是
接下来启动phpstudy
点击网站进行如下配置:
配置完成后浏览器输入自己设置的域名登录
账号:admin
密码:password
进入之后点击Setup / Reset DB,划到最下边,点击create/reset database
![]()
错误提示修改
错误提示修改PHP function display_startup_errors: disabled
PHP function allow_url_include: disabled打开小皮,进行以下几步操作,操作完成后重新启动网站
内容浅析
默认账号:admin
默认密码:password
靶场:暴力破解(Brute Force)、命令注入(Command Injection)、跨站请求伪造(CSRF)、文件包含(File Inclusion)、文件上传(File Upload)、不安全的验证码(Insecure CAPTCHA)、SQL注入(SQL Injection)、SQL盲注(SQL Injection Blind)、反射型跨站脚本攻击(XSS Reflected)、存储型跨站脚本攻击(XSS Stored)等等。
靶场包含四个等级从易到难分别为:Low、Medium、High、Impossible。
选好之后提交注意看一下是否更改完成
修改难度出错
有时候会出现提交完这里对应的参数没有更改,此时,按F12进入开发者模式,点击存储,选择对应的网址,选择需要删除的难度,删除后刷新即可
至此全部完成
知法 懂法 守法![]()
来源地址:https://blog.csdn.net/weixin_43488911/article/details/131133963
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
