网站渗透学习之漏洞环境搭建

时间：2023-05-31 09:45:02 | 来源：网站运营

时间：2023-05-31 09:45:02 来源：网站运营

网站渗透学习之漏洞环境搭建：最近没事在网上搜索了一下 “黑客网站”这个关键词，发现以前比较知名的“ 黑客网站 ”都早已不复存在。可见这些年国家在互联网方面的 净网行动 取得了很不错的成果，在国家的监管下很多“ 黑客网站”，都开始转型做了 “ 网络安全”。大多数” 黑客网站“的站长也开始收敛，不在像以前那样明目张胆的到处浪，像以前录制个” 渗透教程 “，都是直接拿着别人网站来开刀的，一套教程下来也不知道要祸害多少个网站。

个人忠告

上面介绍了这么多，主要是想让你遵守国家法律。玩“ 渗透入侵 ”没关系，但是要在法律允许的框架内玩。不然有一天自己怎么进去了，都还不知道。

DVWA简介

下面来讲一下 DVWA漏洞环境 的搭建，DVWA是一款渗透测试的演练系统，其中包含比较常见的 SQL注入、Xss攻击、文件包含、文件上传、等漏洞，用于给我们提供 “ 渗透 ”练习。

使用工具介绍

• DVWA源码
• PHPWAMP（网站集成环境）

网站环境

在本机上搭建网站环境，“ 断刀流 ” 还是 比较喜欢用 PHPWAMP 这个集成环境。（PHPWAMP具体介绍看《如何在本地搭建个人社工库》这篇文章），打开PHPWAMP选择网站运行服务配置，“ 断刀流”用的配置是 Nginx+MySql + php5.6。点击-->Nginx网站根目录 按钮，打开网站根目录后，把DVWA源码解压放到网站根目录。(DVWA源码在文章后面下载)

修改配置文件

进入网站根目录 打开config目录，把 config目录下的config.inc.php.dist 文件，在当前目录下复制一份，并且重命名为 config.inc.php。然后用记事本打开 config.inc.php 文件，找到db_user和db_password这俩行，在等号后面的单引号里面，分别填写上你的数据库账号和密码。如果你是用 PHPWAMP 搭建的，数据库账号密码可以在 数据库工具面板查看。

安装DVWA

上面config.inc.php配置文件修改保存后，就可已在数据库里安装创建DVWA数据表了，像我是在本地搭建的，直接访问 http://127.0.0.1/setup.php页面，页面中有一个 Create / Reset Database 的按钮，点击 Create / Reset Database 按钮 完成数据库的创建。（页面太大按钮没有截出来）

登陆DVWA

数据库创建好后会自动跳转到登陆页面，默认的 账号 admin 密码为 password，DVWA因为是国外开发的漏洞系统，后台页面自然也都是英文的，如果看着感觉有困难，可以自己去下载一个有道词典。

SQL注入尝尝鲜

DVWA系统有点像你小时候 打魂斗罗 的感觉，漏洞有难度等级划分。就感觉在闯关一样，难度可以自行在 DVWA Security 页面调整。下面来给大家演示一下 SQL注入漏洞，在编辑框输入ID点击Submit按钮，就会在页面显示当前ID对应的姓名。但是因为页面缺少过滤，就会把编辑框输入的东西，全都带进数据库。数据库执行了这些精心构建的语句，就会爆出不必要的敏感信息。如下：

安全小提示

DVWA漏洞系统 建议千万不要部署在外网服务器上，这些漏洞都是实打实存在的。别 ” 渗透测试“ 都还没学会，老窝都让人给端了，那就非常尴尬了。想学习好 ” 渗透测试 “没事就用这个漏洞系统 多加练习，先把这些基础的东西都搞熟练了，有机会在去真机上实战。

---

文章声明
此文章只用于技术交流学习，切勿用作非法用途，否则后果自负。