一、搭建LAMP環(huán)境

二、安裝DVWA

2.1 下載dvwa

2.2 解壓安裝

將下載的應(yīng)用解壓到apache默認(rèn)的主目錄/var/www/html：

unzip DVWA-master.zip -d /usr/www/html

2.3 啟用功能

dvwa上的漏洞，需要些刻意的配置才能被利用。訪問：http://172.0.0.1/dvwa如下，紅色表示不能正常使用：

問題：PHP function allow_url_include:?Disabled

處理：編緝/etc/php.ini將allow_url_include值由Off改為On

問題：PHP module gd: Missing

處理：yum install -y php-gd

問題：reCAPTCHA key: Missing

處理：編緝dvwa/config/config.inc.php

配置$_DVWA[ 'recaptcha_public_key' ]? = '6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg';

配置$_DVWA[ 'recaptcha_private_key' ] = '6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ';

問題：Unable to connect to the database

處理：編緝dvwa/config/config.inc.php，將$_DVWA[ 'db_password' ]的值改成自己設(shè)的數(shù)據(jù)庫root賬號的密碼

重啟httpd(service httpd restart)刷新頁面如下圖：

點(diǎn)擊上圖中的Create/Reset Database后會創(chuàng)建數(shù)據(jù)庫，完后自動跳轉(zhuǎn)登錄頁面。

三、使用dvwa

3.1 登錄dvwa

dvwa登錄頁面(改成自己主機(jī)IP)：http://192.168.220.128/dvwa/login.php

默認(rèn)用戶名密碼是：admin/password

3.2 界面介紹

登錄后頁面如下圖，左側(cè)是漏洞菜單，選擇相應(yīng)漏洞即進(jìn)入存在該漏洞的頁面。

3.3 滲透學(xué)習(xí)(以SQL Injection為例)

進(jìn)入“SQL Injection”頁面，如下圖所示

“User ID”那個框顯然是注入的框了，但是我們就是小白，就不懂怎攻擊，怎么辦呢？

練習(xí)題不會寫，那就直接看答案啊。點(diǎn)擊頁面右下角“View Help”就可以查看。(View Source是查看當(dāng)前實(shí)現(xiàn)submit查找這個功能的php源代碼)

在上圖中點(diǎn)擊“View Help”，就會打開如下界面。其中黑條處就是注入代碼(鼠標(biāo)選中就可以看到是什么內(nèi)容了)。

所以dvwa自己都把答案準(zhǔn)備好了，完全沒必要百度這道題怎么寫。

3.4 切換編碼安全等級

dvwa編碼有“Low/Medium/High/Impossible”四個等級；其中Impossible級表示不存在漏洞，無法攻擊。

即比如如果dvwa配置為Impossible級，那么3.3中的注入頁面是沒法注入的；或者反過來，如果你用各種方法都沒法攻擊dvwa，那要看看是不是把dvwa配置為了Impossible。

我們可以在頁面右下角的”Security Level“得知當(dāng)前dvwa配置的安全等級，然后可以通過”DVWA Security“配置dvwa的安全等級。

參考：

總結(jié)

以上是生活随笔為你收集整理的DVWA设置mysql_dvwa安装、配置、使用教程（Linux）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。