DVWA靶机的搭建

本文主要是介绍DVWA靶机的搭建，对大家解决编程问题具有一定的参考价值，需要的程序猿们随着小编来一起学习吧！

DVWA靶机的搭建

1、LAMP环境的搭建

1） 首先进入root模式

 [groot@localhost ~]$ su root

关闭防火墙并设置开机不启动

[root@localhost groot]# firewall-cmd --state  #检查防火墙状态
 [root@localhost groot]# systemctl stop firewalld  #关闭防火墙
 [root@localhost groot]# systemctl stop firewalld.service 
 [root@localhost groot]# systemctl disable firewalld.service #禁止开启启动

• 关闭selinux

[root@localhost groot]# vim /etc/selinux/config  #打开配置文件

将SELINUX = enforcing 这一项 改为 SELINUX　＝　disable

 [root@localhost groot]# reboot   #重启系统，这样才可以彻底关闭selinux
 [root@localhost groot]# iptables -F   #清空防火规则

 

2） 使用rpm包对LAPM环境进行搭建

[root@localhost groot]# yum install -y httpd php php-mysql php-gd mariadb-server mariadb

3） 安装完之后检查安装的状态和启动服务

[root@localhost groot]# systemctl start httpd

[root@localhost groot]# systemctl start mariadb

​ 开机启动：
​

[root@localhost groot]# systemctl enable httpd**

[root@localhost groot]# systemctl enable mariadb**

4） 测试LAMP环境

 [root@localhost groot]# vim /etc/www/html/text.php
#在文档写入以下内容
 <?php
     phpinfo();

?>

[root@localhost groot]# systemctl disable firewalld && systemctl stop firewalld && systemctl status firewalld   #关闭防火墙**

访问http://192.168.114.129/text.php 正常，说明LAMP环境支持php解析没问题

2、DVWA靶机搭建

1）配置mysql数据库root用户密码

 [root@localhost groot]# mysqladmin -u root password”ar521”
 [root@localhost groot]# mysql -uroot -par521

2）用Xshell上传DVWA到groot主机

 [root@localhost groot]# rz

3）解压到网站根目录下

[root@localhost groot]# unzip DVWA-master.zip -d /var/www/html/
[root@localhost groot]# ls /var/www/html
DVWA-master text.php

修改文件权限

[root@localhost groot]# chown apache:apache /var/www/html/DVWA-master/ -R

4) 编辑DVAW配置文件/dvwa/config/config.inc.php 配置数据库信息，user和password是MySQL的用户名和密码

 创建配置文件
[root@localhost groot]# cd /var/www/html/DVWA-master/config/**

[root@localhost config]# cp config.inc.php.dist config.inc.php     #基于模板配置文件，生成新的配置文件config.inc.php

[root@localhost config]# vim /var/www/html/DVWA-master/config/config.inc.php**



修改内容：

$_DVWA[ 'db_password' ] = 'p@ssw0rd';**

$_DVWA[ 'db_password' ] = '这里修改成自己Mysql的用户密码';**

 

$_DVWA[ 'recaptcha_public_key' ] = '';
$_DVWA[ 'recaptcha_private_key' ] = '';

添加上谷歌开源免费验证码 reCAPTCHA 的公钥和私钥

$_DVWA[ 'recaptcha_public_key' ] = '6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg'; 
$_DVWA[ 'recaptcha_private_key' ] = '6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ';

扩展：

• reCAPTCHA 概述：CU 设计了一个名叫 reCAPTCHA 的强大系统，让他们的电脑去向人类求 助。具体做法是：将 OCR（光学字符识别）软件无法识别的文字扫描图传给世界各大网站，用以替换原 来的验证码图片；那些网站的用户在正确识别出这些文字之后，其答案便会被传回 CMU。 OCR 概述：OCR （Optical Character Recognition，光学字符识别）是指电子设备（例如扫描 仪或数码相机）检查纸上打印的字符，通过检

5） 修改php配置文件

• [root@localhost config]# vim /etc/php.ini
  
  改：allow_url_include = Off
  为：allow_url_include = On
  

  

  [root@localhost config]# systemctl restart httpd
  

6）部署DVWA网站

在浏览器中输入：http://192.168.114.129/DVWA-master/setup.php

点击创建数据库，等待几秒钟，就可以安装成功DVWA了

7） 后期登陆

http://192.168.114.129/DVWA-master/login.php

DVWA的登陆界面的默认用户名：admin，密码：password

到此成功后，拍摄快照

3、对XSS的理解

1.XSS为跨站脚本，简称CSS，由于和层叠样式表的缩写相同，避免混肴，将跨站脚本缩写为XSS

2.XSS常见的三种类型：

1）反射型XSS（非持久型XSS）
黑客通过诱导用户点击加入Javascript代码的连接，当点击后，用户浏览器会执行恶意代码从而触发XSS漏洞。通常出现在搜索等功能中，需要用户点击对应的连接才会触发

2）存储型XSS（持久型）
存储型XSS和反射型XSS类似，但不同的是存储型XSS的恶意代码会被保存在服务器中。例如黑客在发表的博客中插入恶意代码，当用户浏览该博客时恶意代码就会自动执行。存放的地方可能是博客的评论、用户评论，留言板，电子邮件等。

3）DOM型XSS
基于Document Object Model的一份XML文档。属于反射型的一种。直接修改页面中的元素通过URL触发XSS攻击

在搜索等功能中，需要用户点击对应的连接才会触发

2）存储型XSS（持久型）
存储型XSS和反射型XSS类似，但不同的是存储型XSS的恶意代码会被保存在服务器中。例如黑客在发表的博客中插入恶意代码，当用户浏览该博客时恶意代码就会自动执行。存放的地方可能是博客的评论、用户评论，留言板，电子邮件等。

3）DOM型XSS
基于Document Object Model的一份XML文档。属于反射型的一种。直接修改页面中的元素通过URL触发XSS攻击

这篇关于DVWA靶机的搭建的文章就介绍到这儿，希望我们推荐的文章对大家有所帮助，也希望大家多多支持为之网！