DVWA靶场下载安装

DVWA介绍

DVWA 一共包含了十个攻击模块，分别是:Brute Force(暴力破解)、Command Injection(命令行注入)、CSRF(跨站请求伪造)、File Inclusion(文件包含)、File Upload(文件上传)、Insecure CAPTCHA (不安全的验证码)、SQL Injection(SQL注入)、SQL Injection Blind(SQL盲注)、XSS Reflected(反射型跨站脚本)、XSS Stored(存储型跨站脚本)。包含了 OWASP TOP10 的所有攻击漏洞的练习环境，一站式解决所有 Web 渗透的学习环境。

DVWA 还可以手动调整靶场源码的安全级别,分别为 Low,Medium,High,Impossible,级别越高，安全防护越严格，渗透难度越大。

一般 Low 级别基本没有做防护或者只是最简单的防护，很容易就能够渗透成功；而 Medium 会使用到一些非常粗糙的防护，需要使用者懂得如何去绕过防护措施；High 级别的防护则会大大提高防护级别，一般 High 级别的防护需要经验非常丰富才能成功渗透；

Impossible 等级几乎是不可能渗透成功的，所以 Impossible 的源码一般可以被参考作为生产环境 Web 防护的最佳手段。

DVWA下载

地址：https://github.com/digininja/DVWA

下载后解压即可。
注意：里面的low.php会误报

DVWA安装

1. 首先下载phpstudy，下载地址为：https://www.xp.cn/

安装后，打开phpstudy,打开本地网站的根目录:

将下载好的源代码解压，然后拖到根目录下并打开：

找到config文件并打开：

将config.inc.php.dist改为config.inc.php，然后使用编辑器打开对数据库的配置信息进行修改：

修改成和phpstudy中数据库对应的：root

一键启动和运行MySQL和Apache：

然后在浏览器输入127.0.0.1/解压的dvwa的文件夹名称：

127.0.0.1/DVWA-master

点击创建数据库，然后可能会遇到2个问题：

第一个问题：

Could not connect to the database service.
Please check the config file.
Database Error #2054: The server requested authentication method unknown to the client.

意思就是数据库服务没有启动，让我核对一下。

好的，在phpstudy中也确实看到是没有启动的。问题嘛，我也猜到了，之前我安装过一个mysql。

停止该服务后，删除该服务即可：
进入本地的MySQL文件夹，我的文件名是mysql-8.0.26-winx64，进入后执行命令

sc delete mysql

来删除服务。

这就好了。

再来看下dvwa的状态，出现successful 就表示安装成功了：

进行登录，现在靶场已经全部搭建完成,DVWA靶场登录账号密码为 admin password：

参考

解决phpstudy无法启动MySQL服务（需提前备份好数据库数据）