Web安全入门与靶场实战(5)- 安装DVWA

时间:2023-01-14 17:57:45

搭建好LAMP环境之后,我们再继续通过安装一个真实的网站,从而更加真切地了解网站的整体架构,这里我们要安装的网站是DVWA。

DVWA(Damn Vulnerable Web App)是用PHP+MySQL编写的一个用于常规Web漏洞教学的测试网站,包含了SQL注入、命令执行、文件上传等常见的一些安全漏洞,是一个非常好的Web安全实验平台。

首先将网站的压缩文件直接拖到网站主目录/var/www/html中,这里推荐使用Xshell连接到CentOS虚拟机,这样就可以将真机中的文件直接拖到虚拟机里了。

然后用unzip命令解压,并将解压后生成的目录改名为dvwa:

[root@Web html]# unzip DVWA-1.0.8.zip
[root@Web html]# mv DVWA-1.0.8 dvwa

修改网站配置文件:

[root@Web html]# cd dvwa/config/
[root@Web config]# vim config.inc.php

这里需要将db_password修改为自己之前为MySQL的root用户设置的密码,也就是在安装完MariaDB后用mysqladmin命令所设置的密码,我这里设置的密码是123。

Web安全入门与靶场实战(5)- 安装DVWA

DVWA中的核心数据都是存放在MySQL数据库中的,所以这里我们必须要告诉网站MySQL的账号和密码,这样网站才能连接到MySQL并对其进行操作。

接下来就可以在浏览器中访问DVWA了,DVWA在CentOS中的路径为/var/www/html/dvwa,所以它的URL就是“http://虚拟机IP/dvwa”。

首次登录会提示我们去安装数据库:

Web安全入门与靶场实战(5)- 安装DVWA

点击“here”之后,在设置页面中点击“Create/Reset Database”创建数据库,成功安装后会出现“Setup successful!”的提示。

Web安全入门与靶场实战(5)- 安装DVWA

再次访问URL​​http://虚拟机IP/dvwa​​,就会出现登录页面,默认的用户名和密码是admin/password:

Web安全入门与靶场实战(5)- 安装DVWA

至此,DVWA安装完成。

最后我们还可以进入MySQL,查看一下DVWA自动生成的数据库。

执行mysql命令登录MySQL:

[root@Web dvwa]# mysql -uroot -p123

登录之后,执行show databases;命令可以查看到DVWA创建了一个名为dvwa的数据库:

Web安全入门与靶场实战(5)- 安装DVWA

执行“user dvwa;”命令打开数据库,执行“show tables;”可以查看到数据库中有2个数据表,网站的核心数据就存放在这两个表中。

Web安全入门与靶场实战(5)- 安装DVWA