kaliping不通靶机（Kali搭建DVWA——Web靶场）

▣ 博主主站地址：微笑涛声 【www.cztcms.cn】

一.DVWA介绍

1、DVWA简介

DVWA是一款基于PHP和MYSQL开发的web靶场练习平台，集成了常见的web漏洞如sql注入,XSS，密码破解等常见漏洞。旨在为安全专业人员测试自己的专业技能和工具提供合法的环境，帮助web开发者更好的理解web应用安全防范的过程。

2、DVWA模块

DVWA共有十个模块：

Brute Force（暴力（破解））

Command Injection（命令行注入）

CSRF（跨站请求伪造）

File Inclusion（文件包含）

File Upload（文件上传）

Insecure CAPTCHA （不安全的验证码）

SQL Injection（SQL注入）

SQL Injection（Blind）（SQL盲注）

XSS（Reflected）（反射型跨站脚本）

XSS（Stored）（存储型跨站脚本）

3、DVWA 安全级别

一般情况下，DVWA一共有四种安全级

Low、Medium、High、Impossible

二、DVWA的搭建

# Github项目地址： https://github.com/digininja/DVWA

可以在很多系统中搭建DVWA，kali搭建是最简单的，因为kali内置了apache、mysql、php环境，不用自己去安装这些基础环境，可以直接拉取github的项目文件到kali系统，配置好数据库，启动apache2即可。以下步骤也是按照官网提示来操作。

Github项目说明里面也提供了安装教学视频，由于是Youtube上的视频，可能很多小伙伴都看不了，我下载上传了，有兴趣的可以看看视频（全程英文无字幕）。

# 视频下载地址 https://oss.cztcms.cn/blog/videos/Installing_DVWA_in_Kali_Linux_2.mp4 1、打开kali的终端，使用root权限登录。

先将DVWA项目克隆到本地，如果有图上的报错，也可以手动下载压缩包，在上传到kali系统。

git clone https://github.com/digininja/DVWA.git 2、将DVWA解压，放到桌面。 3、将DVWA整个文件夹移动到/var/www/html/下，这个目录是apache2网站的根目录，可以使用http://ip/DVWA访问资源。 mv DVWA /var/www/html/ 4、启动apache2；kali系统默认不会启动apache2，需要手动启动。 # 查看启动状态 service apache2 status # 启动apache2 service apache2 start 5、浏览器访问http://1227.0.0.1，如果看到下图，证明apache2启动成功。 6、启动数据库mariadb，启动方式和apache2一样。 # 查看启动状态 service mariadb status # 启动mariadb service mariadb start 7、登录数据库，直接在终端中输入命令mysql，第一次登录无需密码。 8、创建DVWA的数据库，因为数据库用户不能直接使用root，所以也需要新建一个数据库用户用来管理DVWA库。这里创建的用户名是dvwa，密码是p@ssw0rd，和默认配置文件保持一致。 # 创建数据库dvwa create database dvwa; # 创建数据库用户dvwa，密码是p@ssw0rd create user dvwa@localhost identified by p@ssw0rd; # 分配权限，可以远程登录 grant all on dvwa.* to dvwa@localhost; # 刷新权限 flush privileges; 9、重命名配置文件。 # 到/var/www/html/DVWA目录下 cd /var/www/html/DVWA # 重命名配置文件 cp config/config.inc.php.dist config/config.inc.php 10、初始化数据库。

浏览器访问http://127.0.0.1/dvwa/setup.php，点击左下角的Create/Reset Database进行数据库初始化。

11、数据库初始化完成后会自动跳转到登录页面，输入用户名和密码即可安装完成。 用户名：admin 密码：password 12、可以直接在界面上修改安全等级