kaliping不通靶机（Kali搭建DVWA——Web靶场）

▣ 博主主站地址：微笑涛声 【www.cztcms.cn】

一.DVWA介绍

1    
    
    
    
、DVWA简介

DVWA是一款基于PHP和MYSQL开发的web靶场练习平台  
    
    
    
，集成了常见的web漏洞如sql注入,XSS

     


     


     


     ，密码破解等常见漏洞    
    
    
    
。旨在为安全专业人员测试自己的专业技能和工具提供合法的环境 




 




 




 



，帮助web开发者更好的理解web应用安全防范的过程   


     


     


     


。

2   


     


     


     


、DVWA模块

DVWA共有十个模块：

Brute Force（暴力（破解））

Command Injection（命令行注入）

CSRF（跨站请求伪造）

File Inclusion（文件包含）

File Upload（文件上传）

Insecure CAPTCHA （不安全的验证码）

SQL Injection（SQL注入）

SQL Injection（Blind）（SQL盲注）

XSS（Reflected）（反射型跨站脚本）

XSS（Stored）（存储型跨站脚本）

3



 




 




 




 、DVWA 安全级别

一般情况下  

   

   

   

，DVWA一共有四种安全级

Low   

   

   

   
、Medium    

     

     

     

、High




  




  




  




 、Impossible

二  


  


  


  
、DVWA的搭建

# Github项目地址： https://github.com/digininja/DVWA

可以在很多系统中搭建DVWA

     

     

     

    ，kali搭建是最简单的  




  




  




  


，因为kali内置了apache     
     
     
     
、mysql




   




   




   




 、php环境  


  


  


  


，不用自己去安装这些基础环境
     
     
     
   ，可以直接拉取github的项目文件到kali系统
   




   




   




   

，配置好数据库 



 



 



 



，启动apache2即可



 




 




 




 。以下步骤也是按照官网提示来操作   

   

   

   
。

Github项目说明里面也提供了安装教学视频                  ，由于是Youtube上的视频

    




    




    




    
，可能很多小伙伴都看不了



















，我下载上传了                  ，有兴趣的可以看看视频（全程英文无字幕）    

     

     

     

。

# 视频下载地址 https://oss.cztcms.cn/blog/videos/Installing_DVWA_in_Kali_Linux_2.mp4 1
 



 



 



 
、打开kali的终端

     



     



     



     ，使用root权限登录




  




  




  




 。

先将DVWA项目克隆到本地



















，如果有图上的报错  
    
    
    
，也可以手动下载压缩包

     


     


     


     ，在上传到kali系统  


  


  


  
。

git clone https://github.com/digininja/DVWA.git 2                    、将DVWA解压 




 




 




 



，放到桌面     
     
     
     
。 3 




    




    




    




 、将DVWA整个文件夹移动到/var/www/html/下  

   

   

   

，这个目录是apache2网站的根目录

     

     

     

    ，可以使用http://ip/DVWA访问资源




   




   




   




 。 mv DVWA /var/www/html/ 4

















、启动apache2；kali系统默认不会启动apache2  




  




  




  


，需要手动启动
 



 



 



 
。 # 查看启动状态 service apache2 status # 启动apache2 service apache2 start 5                    、浏览器访问http://1227.0.0.1  


  


  


  


，如果看到下图
     
     
     
   ，证明apache2启动成功                    。 6  



     



     



     



 、启动数据库mariadb
   




   




   




   

，启动方式和apache2一样 




    




    




    




 。 # 查看启动状态 service mariadb status # 启动mariadb service mariadb start 7

















、登录数据库 



 



 



 



，直接在终端中输入命令mysql                  ，第一次登录无需密码

















。 8    
    
    
    
、创建DVWA的数据库

    




    




    




    
，因为数据库用户不能直接使用root



















，所以也需要新建一个数据库用户用来管理DVWA库                    。这里创建的用户名是dvwa                  ，密码是p@ssw0rd

     



     



     



     ，和默认配置文件保持一致  



     



     



     



 。 # 创建数据库dvwa create database dvwa; # 创建数据库用户dvwa



















，密码是p@ssw0rd create user dvwa@localhost identified by p@ssw0rd; # 分配权限  
    
    
    
，可以远程登录 grant all on dvwa.* to dvwa@localhost; # 刷新权限 flush privileges; 9   


     


     


     


、重命名配置文件

















。 # 到/var/www/html/DVWA目录下 cd /var/www/html/DVWA # 重命名配置文件 cp config/config.inc.php.dist config/config.inc.php 10



 




 




 




 、初始化数据库    
    
    
    
。

浏览器访问http://127.0.0.1/dvwa/setup.php

     


     


     


     ，点击左下角的Create/Reset Database进行数据库初始化   


     


     


     


。

11   

   

   

   
、数据库初始化完成后会自动跳转到登录页面 




 




 




 



，输入用户名和密码即可安装完成



 




 




 




 。 用户名：admin 密码：password 12    

     

     

     

、可以直接在界面上修改安全等级