搭建 DVWA 靶场，补档篇系列

# 1. 安装 PHPStudy

PHPStudy 是一个 PHP 调试环境的程序集成包。该程序包集成最新的 Apache + PHP + MySQL + phpMyAdmin + ZendOptimizer ，一次性安装，无须配置即可使用，是非常方便、好用的 PHP 调试环境。(点击 phpstudy 进入官网下载)

安装无脑下一步即可

# 2. 配置 DVWA

为了之后方便访问，将 DVWA-master 改名为 dvwa

然后将 dvwa 文件夹放到 phpstudy 配置文件的 www 文件下

然后在 /www/dvwa/config 里找到 config.inc.php.dist 文件，将其复制一下好做个备份，删掉后缀名的 .dist 后访问里面的配置，修改成这样

$_DVWA = array();

$_DVWA[ 'db_server' ]   = '127.0.0.1';

$_DVWA[ 'db_database' ] = 'dvwa';

$_DVWA[ 'db_user' ]     = 'root';

$_DVWA[ 'db_password' ] = 'root';

# 3. 创建 DVWA 网站

打开 phpstudy 启动 apache mysql5.7 服务

点击创建网站

输入域名，修改端口防止冲突，根目录选择 dvwa 的目录

随后打开浏览器访问这个域名

点击 Create / Reset Database 创建 dvwa 数据库

显示这一串即可成功创建，点击 login 访问登陆界面

默认账号密码为 admin password

# 4. 介绍 DVWA

找到左边栏的 DVWA Security

这里是更改难度的配置

Low //低
Medium //中
High //高
Impossible //不可能(这是已经防护完全的难度，即不可解)

# DVWA 中包含的 web 漏洞

暴力破解：HTTP表单暴力破解登录页面；用来测试密码暴力破解工具，展示弱口令的不安全性。

命令执行：在底层操作系统上执行命令。

伪造跨站请求：启动一个“攻击者”更改应用的管理员密码。

文件包含：允许“攻击者”将远程/本地文件包含到Web应用程序中。

SQL注入：启动一个“攻击者”将SQL语句注入到HTTP表单的输入框中，DVWA包括基于盲（盲注）和错误的SQL注入。

不安全文件上传：允许“攻击者”将恶意文件上传到web服务器。

跨站脚本（XSS）：“攻击者”可以将自己编写的脚本注入到web应用或数据库中，DVWA包含反射型和存储型XSS。