参考:DVWA下载、安装、使用(漏洞测试环境搭建)教程 - 付杰博客 (fujieace.com)
DVWA全称为Damn Vulnerable Web Application,意为存在糟糕漏洞的web应用。它是一个基于PHP/MySQL开发的存在糟糕漏洞的web应用,旨在为专业的安全人员提供一个合法的环境,来测试他们的工具和技能。帮助web开发人员理解web应用保护的过程,还可以在课堂中为师生的安全性教学提供便利。
下载安装启动登录
下载DVWA,下载安装启动phpstudy
phpstudy里面需要创建一个网站
将下载后的DVWA解压放到这个根目录F:/phpstudy_pro/WWW/DVWA下。
修改 config.inc.php配置后,启动apache、mysql。
打开网站
访问http://127.0.0.1/login.php
会跳转到setup需要进行一些数据库设置,点击创建数据库,会进行数据库创建。
再次访问登录页面
默认用户名:admin,默认密码:password;
登录成功
左侧是漏洞菜单,选择相应漏洞即进入存在该漏洞的页面。
切换编码安全等级
dvwa编码有“Low/Medium/High/Impossible”四个等级;其中Impossible级表示不存在漏洞,无法攻击。
即比如如果dvwa配置为Impossible级,那么注入页面是没法注入的;或者反过来,如果你用各种方法都没法攻击dvwa,那要看看是不是把dvwa配置为了Impossible。
我们可以在页面右下角的”Security Level“得知当前dvwa配置的安全等级,然后可以通过”DVWA Security“配置dvwa的安全等级。
渗透学习(以SQL Injection为例)
进入“SQL Injection”页面,如下图所示
“User ID”那个框显然是注入的框了,但是我们就是小白,就不懂怎攻击,怎么办呢?
练习题不会写,那就直接看答案啊。点击页面右下角“View Help”就可以查看。(View Source是查看当前实现submit查找这个功能的php源代码)
