DVWA靶机的搭建

2021/7/22 23:12:59

本文主要是介绍DVWA靶机的搭建,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!

DVWA靶机的搭建

1、LAMP环境的搭建

1) 首先进入root模式

 [groot@localhost ~]$ su root

关闭防火墙并设置开机不启动

[root@localhost groot]# firewall-cmd --state  #检查防火墙状态
 [root@localhost groot]# systemctl stop firewalld  #关闭防火墙
 [root@localhost groot]# systemctl stop firewalld.service 
 [root@localhost groot]# systemctl disable firewalld.service #禁止开启启动

在这里插入图片描述

  • 关闭selinux
[root@localhost groot]# vim /etc/selinux/config  #打开配置文件

在这里插入图片描述

将SELINUX = enforcing 这一项 改为 SELINUX = disable

 [root@localhost groot]# reboot   #重启系统,这样才可以彻底关闭selinux
 [root@localhost groot]# iptables -F   #清空防火规则

 

2) 使用rpm包对LAPM环境进行搭建

[root@localhost groot]# yum install -y httpd php php-mysql php-gd mariadb-server mariadb

3) 安装完之后检查安装的状态和启动服务

[root@localhost groot]# systemctl start httpd

[root@localhost groot]# systemctl start mariadb

开机启动:

[root@localhost groot]# systemctl enable httpd**

[root@localhost groot]# systemctl enable mariadb**

4) 测试LAMP环境

 [root@localhost groot]# vim /etc/www/html/text.php
#在文档写入以下内容
 <?php
     phpinfo();

?>
[root@localhost groot]# systemctl disable firewalld && systemctl stop firewalld && systemctl status firewalld   #关闭防火墙**



访问http://192.168.114.129/text.php 正常,说明LAMP环境支持php解析没问题

在这里插入图片描述

2、DVWA靶机搭建

1)配置mysql数据库root用户密码

 [root@localhost groot]# mysqladmin -u root password”ar521”
 [root@localhost groot]# mysql -uroot -par521


2)用Xshell上传DVWA到groot主机

 [root@localhost groot]# rz

在这里插入图片描述

3)解压到网站根目录下

[root@localhost groot]# unzip DVWA-master.zip -d /var/www/html/
[root@localhost groot]# ls /var/www/html
DVWA-master text.php

修改文件权限

[root@localhost groot]# chown apache:apache /var/www/html/DVWA-master/ -R

4) 编辑DVAW配置文件/dvwa/config/config.inc.php 配置数据库信息,user和password是MySQL的用户名和密码

 创建配置文件
[root@localhost groot]# cd /var/www/html/DVWA-master/config/**

[root@localhost config]# cp config.inc.php.dist config.inc.php     #基于模板配置文件,生成新的配置文件config.inc.php

[root@localhost config]# vim /var/www/html/DVWA-master/config/config.inc.php**



修改内容:

$_DVWA[ 'db_password' ] = 'p@ssw0rd';**

$_DVWA[ 'db_password' ] = '这里修改成自己Mysql的用户密码';**

 

$_DVWA[ 'recaptcha_public_key' ] = '';
$_DVWA[ 'recaptcha_private_key' ] = '';

添加上谷歌开源免费验证码 reCAPTCHA 的公钥和私钥

$_DVWA[ 'recaptcha_public_key' ] = '6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg'; 
$_DVWA[ 'recaptcha_private_key' ] = '6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ';

在这里插入图片描述

扩展:

  • reCAPTCHA 概述:CU 设计了一个名叫 reCAPTCHA 的强大系统,让他们的电脑去向人类求 助。具体做法是:将 OCR(光学字符识别)软件无法识别的文字扫描图传给世界各大网站,用以替换原 来的验证码图片;那些网站的用户在正确识别出这些文字之后,其答案便会被传回 CMU。 OCR 概述:OCR (Optical Character Recognition,光学字符识别)是指电子设备(例如扫描 仪或数码相机)检查纸上打印的字符,通过检

5) 修改php配置文件

  • [root@localhost config]# vim /etc/php.ini
    
    改:allow_url_include = Off
    为:allow_url_include = On
    

    在这里插入图片描述

    [root@localhost config]# systemctl restart httpd
    

6)部署DVWA网站

在浏览器中输入http://192.168.114.129/DVWA-master/setup.php

在这里插入图片描述

点击创建数据库,等待几秒钟,就可以安装成功DVWA了

7) 后期登陆

http://192.168.114.129/DVWA-master/login.php

DVWA的登陆界面的默认用户名:admin,密码:password
在这里插入图片描述

到此成功后,拍摄快照
在这里插入图片描述

3、对XSS的理解

1.XSS为跨站脚本,简称CSS,由于和层叠样式表的缩写相同,避免混肴,将跨站脚本缩写为XSS

2.XSS常见的三种类型:

1反射型XSS(非持久型XSS)
黑客通过诱导用户点击加入Javascript代码的连接,当点击后,用户浏览器会执行恶意代码从而触发XSS漏洞。通常出现在搜索等功能中,需要用户点击对应的连接才会触发

2存储型XSS(持久型)
存储型XSS和反射型XSS类似,但不同的是存储型XSS的恶意代码会被保存在服务器中。例如黑客在发表的博客中插入恶意代码,当用户浏览该博客时恶意代码就会自动执行。存放的地方可能是博客的评论、用户评论,留言板,电子邮件等。

3)DOM型XSS
基于Document Object Model的一份XML文档。属于反射型的一种。直接修改页面中的元素通过URL触发XSS攻击

在搜索等功能中,需要用户点击对应的连接才会触发

2存储型XSS(持久型)
存储型XSS和反射型XSS类似,但不同的是存储型XSS的恶意代码会被保存在服务器中。例如黑客在发表的博客中插入恶意代码,当用户浏览该博客时恶意代码就会自动执行。存放的地方可能是博客的评论、用户评论,留言板,电子邮件等。

3)DOM型XSS
基于Document Object Model的一份XML文档。属于反射型的一种。直接修改页面中的元素通过URL触发XSS攻击



这篇关于DVWA靶机的搭建的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!


扫一扫关注最新编程教程