一、实验目的
1.用PHP开发环境集成工具XAMPP搭建DVWA靶场。
2.用PHP开发环境集成工具phpstudy搭建DVWA靶场。
二、实验原理
XAMPP 是一款跨平台的 PHP 开发环境工具,集成了Apache、MySQL、PHP等的环境。XAMPP 可以在多种操作系统上运行,如 Windows、Mac、Linux 等。因此,如果需要在多个操作系统上使用 PHP 开发环境,xampp 会更符合需求。
phpstudy 是一款专门为 Windows 平台设计的 PHP 开发环境工具,集成了Apache、Nginx、FTP、MySQL、PHP等的环境。phpstudy更注重用户体验,提供了更好交互的界面和更多的集成环境。
注:phpstudy 虽然最开始只有 Windows 版本,但截至目前已经推出了linux版本和mac版本。所以说现在选择phpstudy反而相比XAMPP有用户体验上的优势。
DVWA-master 是一款用于学习和测试 Web 应用程序漏洞的开源软件,DVWA 全称是"Damn Vulnerable Web Application",意为“可被攻击的 Web 应用程序”。DVWA-master即为本实验要搭建的DVWA靶场。
三、实验环境
工具软件:VMware、XAMPP、phpstudy、DVWA-master
实验准备:虚拟机Windows 10
四、实验内容(实验步骤、测试数据等)
用XAMPP与phpstudy搭建DVWA靶场的步骤大同小异,只有路径的不同。
本实验在XAMPP搭建DVWA靶场时给出搭建步骤和报错的解决方法,在phpstudy搭建DVWA靶场时只给出搭建步骤。
若用phpstudy搭建DVWA靶场时有报错情况,请参考第一部分用XAMPP搭建DVWA靶场的实验。
(1)用PHP开发环境工具XAMPP搭建DVWA靶场(含报错的解决方法)
启动Windows 10虚拟机
下载XAMPP,安装XAMPP
打开XAMPP,启动Apache服务和MySQL服务
下载DVWA-master,解压DVWA-master
将解压后的DVWA-master更名为dvwa,复制dvwa文件夹
进入路径xampp\htdocs,黏贴
打开火狐浏览器,访问http://localhost/dvwa/setup.php
进入DVWA靶场的设置检查界面
出现报错1:
DVWA System error - config file not found. Copy config/config.inc.php.dist to config/config.inc.php and configure to your environment.
解决报错1:
进入路径xampp\htdocs\dvwa\config
将config.inc.php.dist文件更名为config.inc.php文件
或者复制config.inc.php.dist文件,黏贴生成副本再更名
两种方法皆可,没有影响
保存后,刷新浏览器,成功进入DVWA靶场的设置检查界面
无报错弹出,报错1成功解决
下拉到DVWA靶场主页的最下方
单击Create / Reset Database
出现报错2:
Could not connect to the MySQL service.Please check the config file.
解决报错2:
进入路径xampp\htdocs\dvwa\config
用文本编辑器打开config.inc.php文件
找到$_DVWA[ 'db_password' ]
将密码更改为root,如下图:
保存后,单击Create / Reset Database
无报错弹出,报错2成功解决
同样在config.inc.php文件中
下拉找到$_DVWA[ 'recaptcha_public_key' ] 和 $_DVWA[ 'recaptcha_private_key' ]
把如下两个key值分别填入 recaptcha_public_key 和 recaptcha_private_key 中
6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg
6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ当然,按照提示访问https://www.google.com/reca获取key值也是可以的
下拉找到$_DVWA[ 'default_security_level' ]
可将默认安全等级level更改为low,方便后续SQL注入
保存后,刷新浏览器,在DVWA主页还有一项标红报错
出现报错3:
PHP function allow_url_include: Disabled
解决报错3:
进入路径xampp\php
用文本编辑器打开php.ini文件
将allow_url_include项的Off更改为On
保存后,刷新浏览器
无标红报错,报错3成功解决
再次单击 Create/Reset Database,单击login登陆DVWA靶场
进入到DVWA靶场登陆界面
输入默认用户名admin
输入默认密码password
成功进入DVWA靶场主界面,DVWA靶场搭建完毕
(2)用PHP开发环境工具phpstudy搭建DVWA靶场
启动Windows 10虚拟机
1.下载phpstudy,安装phpstudy
打开phpstudy,启动Apache服务和MySQL服务
2.下载DVWA-master,解压DVWA-master
将解压后的DVWA-master更名为DVWA,复制DVWA文件夹
进入路径phpstudy\www,黏贴
3.进入路径phpstudy\Extensions\php\php7.3.4nts
用文本编辑器打开php.ini文件
将allow_url_include项的Off更改为On
4.进入路径phpstudy\www\DVWA\config
将config.inc.php.dist文件更名为config.inc.php文件
5.在该文件内找到 $_DVWA[ 'db_password' ] = 'p@ssw0rd';
将p@ssw0rd更改为root
6.在该文件内找到 recaptcha_public_key 和 recaptcha_private_key
把如下两个key值分别填入 recaptcha_public_key 和 recaptcha_private_key 中
6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg
6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ7.打开火狐浏览器,访问http://localhost/dvwa/setup.php
单击Create / Reset Database,单击login
进入到DVWA靶场登陆界面
输入默认用户名admin
输入默认密码password
成功进入DVWA靶场主界面,DVWA靶场搭建完毕
五、实验体会
用XAMPP和用phpstudy搭建DVWA靶场的步骤大同小异,只是文件的路径不同。用phpstudy搭建DVWA靶场的报错可以参考用XAMPP搭建DVWA靶场的部分实验。