前言
学习web渗透测试,必须要实践,像我这种初学者尤为必要。
正好Github上就有DVWA这样一个开源项目,供Web开发者了解常见安全问题。同时也为Web渗透测试初学者,提供了便利、合法的学习环境。
DVWA官网:http://www.dvwa.co.uk/
找到Download,下载得到一个压缩包。
部署DVAW并不麻烦,只要有phpstudy+DVWA,就可以搭建好目标。
下面分享我的部署经验,供大家参考,不足之处欢迎留言讨论~
然后就可以愉快的开始学习Web渗透测试中的骚操作了~(踩了一天的坑)
PS:我默认读这篇文章的朋友,有能力搜索和安装Burpsuit,phpstudy,SwitchHosts,安装软件问题不再赘述
一、环境
- 系统:win10 64位
- 浏览器:Chrome(版本73.x)
- 目标服务器:phpstudy(官网最新)
- 测试环境:DVWA(1.10)
- 修改Hosts工具:Switch Hosts
二、步骤
1. 目标服务器及DVWA站点配置
1.1将DVWA放入指定文件夹
PS:解压缩得到的文件夹名字时“DVWA-master”,要把-master删掉
DVWA放置路径.jpg
1.2修改DVWA/config目录下的config文件为php
去除文件后缀.jpg
- 去除php后面多余的后缀即可。
1.3修改config文件参数
-
如图修改
修改config参数.jpg
1.4修改phpstudy的php开关参数
-
把参数开关列表中,最后三个全部勾上
phpstudy里的php开关设置.jpg
1.5站点域名设置
-
点击其他选项菜单,找到站点域名管理。
把网站域名改为
- 这里随意改名,开心就好。
- 网站目录选择:phpstudy\PHPTutorial\WWW\DVWA
- 二级域名可以留空
-
端口80
php站点域名管理.jpg
最后别忘了点
- “新增”
- “保存设置并生成文件”
1.6设置系统hosts
打开SwitchHosts,末尾输入
127.0.0.1 www.dvwa.com
这样你在浏览器输入域名,就会打开DVWA的网站了
设置hosts.jpg
第一次使用SwirtchHosts,可能会遇到没有修改Hosts权限问题
请参考解决方案:
https://jingyan.baidu.com/article/624e7459b194f134e8ba5a8e.html
2. 系统代理/端口配置
2.1打开系统代理端口
-
开始菜单——>设置——>网络和Internet——>代理
如图所示,把localhosts;127.*;删掉,这样你才能抓包。
不要勾选“请勿将代理服务器...”
记得保存!!!!
系统代理及端口设置.jpg
保存这一步可以在你准备抓包的时候再执行。
2.2 我们现在可以先不保存,测试一下目标站点能不能访问
- 先启动Phpstudy
- 然后在浏览器输入www.dvwa.com/DVWA/setup.php
DVWA设置及数据库创建.jpg
- 创建数据库,然后会自动跳转到登陆页面
测试DVWA能否访问.jpg
- 用户名admin;密码:password。进入如下页面
修改安全等级.jpg
-
修改安全等级为Low
修改难度等级2.jpg Submit提交
到这里,DVWA已经在你电脑里部署好,并且可以访问了。
接下来就是抓包测试了
3. BurpSuit基本配置
Burpsuit端口及抓取目标筛选.jpg
-
打开系统代理,启动phpstudy软件
1.设置好Burpsuit监听端口
2.选择抓取的目标网站域名
4. 抓包测试
终于最后一步了~
选择第一关,后台登陆用户名、密码爆破
选择第一关并测试能否抓包.jpg
可以看到,输入用户名和密码后,Burp成功截获报文。
利用这段请求报文,我们就可以利用Burp中的“Intruder”进行暴力登陆尝试,来获得正确的后台登陆的用户名和密码了
抓包成功.jpg
三、写在后面
部署已经完成,接下来就是一关一关的学习,和尝试了。
有空再记录第一关的笔记
码字不易,对你有帮助的话,欢迎鼓励呀~
