DVWA介绍：

DVWA是一个渗透测试靶机系统。

DVWA具有十个模块：分别是 Brute Force（暴力破解）、Command Injection（命令行注入）、CSRF（跨站请求伪造）、File Inclusion（文件包含）、File Upload（文件上传）、Insecure CAPTCHA（不安全的验证码）、SQL Injection（SQL注入）、SQL Injection（Blind）（SQL盲注）、XSS（Reflected）（反射型跨站脚本）、SXX（stored）（存储型跨站脚本）。

DVWA代码安全级别分为：low、Medium、High、Impossible，难度级别可以自己调节。

DVWA环境搭建：

下载DVWA：

wget https://github.com/ethicalhack3r/DVWA/archive/master.zip

把压缩包移动到html目录下

mv master.zip  /var/www/html/

解压

解压完成删除安装包

开始配置环境：

先停掉apache2

给DVWA-master文件夹赋权限

启动mysql

打开mysql，新建数据库

完成后exit；退出数据库

启动apache

修改配置文件：config.inc.php.dist

修改配置文件名称：

cp /var/www/html/DVWA-master/config/config.inc.php.dist /var/www/html/DVWA-master/config/config.inc.php

修改前记得备份一下原配置文件。

安装php-mysql php-pear

浏览器打开：

http://127.0.0.1/DVWA-master/setup.php

DVWA启动成功，但是还有些配置问题，接下来一一解决

PHP function allow_url_include: Disabled

编辑php.ini

路劲为：

修改off为on

重启apache2，没有报红了

如果不成功，继续修改

PHP module gd: Missing - Only an issue if you want to play with captchas

安装后还是不行，不过不影响后面应用的正常使用

reCAPTCHA key: Missing

编缉dvwa/config/config.inc.php

配置$_DVWA[ 'recaptcha_public_key' ]  = '6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg';

配置$_DVWA[ 'recaptcha_private_key' ] = '6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ';

查找配置文件：

config.inc.php

把key添加进去

或者进这个网站生成新的KEY:

https://www.google.com/recaptcha/admin/create

配置完成后：

下面这个问题，需要把配置文件报红处改为on

找出配置文件，并修改

我全改了还是不行，不过不影响使用

接下来打开本地dvwa网站，创建数据库，如果报错，按照下面的法操作

打开mysql，使用root用户

再使用mysql，因为刚刚启用的是MariaDB，KALI中自带的

设置密码，创建用户等信息

配置好后结果如下

启动apache2

打开网址即可正常打开，默认用户名密码：admin/password