自己的备忘录,这里记录Kali部署DVWA和OWASPBWA,其中遇到的问题会在下一篇文章记录

DVWA(Damn Vulnerable Web App)是一个基于PHP/MySql搭建的Web应用程序,旨在为安全专业人员测试自己的专业技能和工具提供合法的 环境,帮助Web开发者更好的理解Web应用安全防范的过程。

DVWA一共包含十个模块分别是:

1.Bruce Force //暴力破解

2.Command Injection //命令注入

3.CSRF //跨站请求伪造

4.File Inclusion //文件包含

5.File Upload //文件上传漏洞

6.Insecure CAPTCHA //不安全的验证

7.SQL Injection //sql注入

8.SQL Injection(Blind) //sql注入(盲注)

9.XSS(Reflected) //反射型XSS

10.XSS(Stored) //存储型XSS

同时每个模块的代码都有4种安全等级:Low、Medium、High、Impossible。通过从低难度到高难度的测试并参考代码变化可帮助学习者更快的理解漏洞的原理。

OWASP Broken Web Applications Project是OWASP出品的一款基于虚拟机的渗透测试演练工具(VM),由于包含了诸多供测试的安全弱点,所以强烈建议在host only或NAT的虚拟机网络模式下使用。

0x1 获取dvwa安装包并解压

从Github获取dvwa压缩包:

wget https://github.com/ethicalhack3r/DVWA/archive/master.zip

已经存在本地了

解压并释放到指定文件夹 /var/www/html

unzip -o -d /var/www/html master.zip

进入到/var/www/html文件夹,把解压的文件夹DVWA-master重命名为dvwa

重命名

0x2 赋予dvwa文件夹相应权限

先停止apache2服务,以防万一,在终端输入:

service apache2 stop

 
赋予dvwa文件夹相应的755权限,接着在终端中输入:
chmod -R 755 /var/www/html/dvwa

赋予dvwa文件夹内文件相应的755权限,接着在终端中输入:

cd /var/www/html/dvwa/
chmod 755 hackable/uploads/
chmod 755 external/phpids/0.6/lib/IDS/tmp/phpids_log.txt
chmod 755 config/

0x3 配置Mysql数据库

Kali2018默认是的MariaDB数据库,并不是Mysql,不能按照Mysql的配置来不然会报错

错误信息如下:

Could not connect to MySQL service.

Pls. check the config file.
Your database user is root,if you are using MariaDB, this will not work,pls. read the README.md file.

见下图:

开启MySQL服务,打开终端输入以下命令:

service mysql start

运行如下命令连接 MySQL ,默认是进入MariaDB,

mysql -uroot -p 

需要注意,此时需要输入的密码默认是空,不需要填写,直接Enter跳过即可

进入mysql,并将mysql的密码改为 password

use mysql;
update user set password=PASSWORD('xxxxxx') where User='root';

接着逐行进行如下命令行操作:

create user dvwa;
grant all on dvwa.* to dvwa@localhost identified by 'password';
flush privileges;
grant all on dvwa.* to 'dvwa'@'%';
flush privileges;

0x4 配置PHP

配置PHP,GD支持

apt-get install php-gd

修改php配置文件

找到 '' /etc/php/7.2/apache2/ '' 文件夹,用文档编辑器打开 '' php.ini '' 文件

更改如下两项:

''allow_url_include=Off'' 改为 ''allow_url_include=On''

''display_errors=Off'' 改为 ''display_errors=On''

进入到  /var/www/html/dvwa/config 文件夹,把配置模版文件config.inc.php.dist 复制一份 , 并命名为config.inc.php

右键,用文档编辑器打开该文件,配置 ‘ReCAPTCHA settings’,将谷】歌生成的keys分别填入如下部分(生成ReCAPTCHA请自行学习);

ReCAPTCHA需要找谷。歌配置,进入网址 https://www.google.com/recaptcha/admin/create 去生成新的ReCAPTCHA;

谷、歌端配置如下:

01

02

03

继续修改这个文件,将内部的数据库链接配置修改,根据刚刚的设定,用户名是dvwa,密码是password

需要把如下部分改为dvwa和password

'db_user' = 'dvwa';
'db_password' = 'password';

0x5 启动apache2和mysql服务

命令行启动apache2和mysql服务

service apache2 start
service mysql start

打开kaili的浏览器,地址栏输入 localhost/dvwa,就会跳转到如下界面:

设置界面

0x6 在DVWA界面配置数据库

点击Create/Reset Database,进行DVWA的数据库配置

成功界面:

失败界面:(注意检查数据库配置和config文件内的配置)

0x7 登陆到DVWA

默认用户名和密码是admin/password

成功进入靶场!

0x8 虚拟机安装OWASPBWA靶机系统全家桶

OWASPBWA 是个靶机系统全家福,现在这些靶机系统全部被打包放到一个虚拟机镜像内,请在这里下载github),解压后用Vmware和VirtualBox直接打开就行;

然后在浏览器的地址栏输入地址,就能进入靶机网页端;

下面已经罗列各种靶机系统,可以尽情实验了。

Kali部署DVWA和OWASPBWA的更多相关文章

  1. Web安全学习笔记之Kali部署DVWA和OWASPBWA

    0x0 前言 kali安装完成,下面要进行实战操作了,喵~~(OWASPBWA请直接跳到第八部分) #既然你诚心诚意的问了,我们就大发慈悲的告诉你! #为了防止世界被破坏! #为了守护世界的和平! # ...

  2. kali上部署dvwa漏洞测试平台

    kali上部署dvwa漏洞测试平台 一.获取dvwa安装包并解压 二.赋予dvwa文件夹相应权限 三.配置Mysql数据库 四.启动apache2和mysql服务 五.在网页配置dvwa 六.登陆到D ...

  3. Redhat 下 XAMPP 安装和部署 DVWA 教程

    XAMPP(Apache+MySQL+PHP+PERL)是一个功能强大的建站集成软件包.这个软件包原来的名字是 LAMPP,但是为了避免误解,最新的几个版本就改名为 XAMPP 了.它可以在Windo ...

  4. Docker部署DVWA

    上次在Docker手动配置了一个Ubuntu的Lamp镜像,这次来试验一下使用这个镜像部署一个简单的web应用吧. 首先从Lamp镜像运行一个容器 root@VM-149-127-debian:~/a ...

  5. Kali部署openvas初探与实践

    openvas安装 1.我用的清华大学的源,所以我把/etc/apt/source.list中下入如下源地址 #清华大学deb http://mirrors.tuna.tsinghua.edu.cn/ ...

  6. kali之DVWA

    简介 DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境, ...

  7. kali linux DVWA config 问题解决方案

    1.下载DVWA之后解压到 var/www/html目录下 unzip DVWA-master.zip -d /usr/www/html 2.配置 打开终端,执行以下命令: 将apache2停止:se ...

  8. 利用XShell和WinSCP连接本机和Linux虚拟机——Kali部署

    1.XShell支持在本机直接连接Linux终端,加快速度,支持命令的复制粘贴 2.WinSCP 支持本机与Linux的文件复制粘贴 关键:使用SSH协议,所以要在Linux开启ssh服务,下面以Ka ...

  9. 部署DVWA时的一些问题和解决办法(二)

    DVWA reCAPTCHA key: Missing解决方法 编辑 dvwa/config/config.inc.php这个配置文件 $_DVWA[ 'recaptcha_public_key' ] ...

随机推荐

  1. [POI2005]KOS-Dicing (最大流+二分)lg3425

    题面https://www.luogu.org/problemnew/show/P3425 题面说赢的最多的人最少赢几场,肯定是向二分的方向思考 建立源点向每一场比赛连容量为1的边,从每场比赛向参赛两 ...

  2. VMware该虚拟机似乎正在使用中。如果该虚拟机未在使用,请按“获取所有权(T)”按钮获取它的所有权

    原文链接:https://blog.csdn.net/helloxiaozhe/article/details/81176684 VMware该虚拟机似乎正在使用中.如果该虚拟机未在使用,请按“获取所 ...

  3. Python标准库之sys模块

    获取Python解释器的版本信息 import sys print(sys.version) #输出 3.6.5 (v3.6.5:f59c0932b4, Mar 28 2018, 17:00:18) ...

  4. 《深入理解Java虚拟机》读书笔记六

    第七章 虚拟机类加载机制 1.类加载的时机 虚拟机的类加载机制: 虚拟机把描述类的数据从class文件中加载到内存,并对数据进行校验.转换解析和初始化,最终形成了可以被虚拟机直接使用的Java类型,这 ...

  5. 自己动手系列----使用数组实现一个简单的Set

    Set:注重独一无二的性质,该体系集合可以知道某物是否已近存在于集合中,不会存储重复的元素用于存储无序(存入和取出的顺序不一定相同)元素,值不能重复.主要有HashSet和TreeSet两大实现类. ...

  6. 部署prerender服务器

    // 安装 git sudo apt-get install git sudo apt-get install curl // 请先确认服务器是否安装了curl 如果已经安装跳过即可 // 安装 no ...

  7. QT离线安装包

    各个版本下载链接http://mirrors.ustc.edu.cn/qtproject/archive/qt http://www.qtcn.org/bbs/i.php

  8. Python - 反向遍历序列(列表、字符串、元组等)的五种方式

    1. reversed() a = [1, 2, 3, 4] for i in reversed(a): print(i) 2. range(len(a)-1, -1, -1) a = [1, 2, ...

  9. Python与C语言基础对比(Python快速入门)

    代码较长,建议使用电脑阅读本文. 10分钟入门Python 本文中使用的是Python3 如果你曾经学过C语言,阅读此文,相信你能迅速发现这两种语言的异同,达到快速入门的目的.下面将开始介绍它们的异同 ...

  10. MYSQL之路之表