一. DVWA 介绍
DVWA(Damn Vulnerable web Application)是一个用来进行安全脆弱性鉴定的 PHP/MySQL Web 应用, 旨在为安全专业人员测试自己的专业技能和工具提供合法的环境, 帮助 web 开发者更好的理解 web 应用安全防范的过程. DVWA 代码分为四种安全级别: Low,Medium,High,Impossible, 通过比较不同级别的代码, 学习如何提高代码审计.
二. lamp 环境
环境: Docker(17.04.0-ce), 镜像 Ubuntu(16.04.3)
1. 安装 mysql,apache2,php
- root@22072ee3c9ac:~# apt-get update
- root@22072ee3c9ac:~# apt-get install -y mysql-server apache2 php
2.php 启用 mysql 支持, apache2 启用 php 支持
root@22072ee3c9ac:~# apt-get install -y php-mysql libapache2-mod-php
3. 启动 apache2 和 mysql 服务
- root@22072ee3c9ac:~# /etc/init.d/mysql start
- root@22072ee3c9ac:~# /etc/init.d/apache2 start
三. DVWA 安装
1. 下载 DVWA 程序包
- root@22072ee3c9ac:~# wget https://github.com/ethicalhack3r/DVWA/archive/master.zip
- root@22072ee3c9ac:~# unzip master.zip -d /var/www/html/
2. 安装 php 图像处理模块 gd
root@22072ee3c9ac:~# apt-get install -y php-gd
3.php 启用 allow_ur_include
- root@22072ee3c9ac:~# vim /etc/php/7.0/apache2/php.ini
- allow_url_include = On
- root@22072ee3c9ac:~# /etc/init.d/apache2 restart
4. 配置 config.inc.php, 修改数据库 password
- root@22072ee3c9ac:~# cp /var/www/html/DVWA-master/config/config.inc.php.dist /var/www/html/DVWA-master/config/config.inc.php
- root@22072ee3c9ac:~# vim /var/www/html/DVWA-master/config/config.inc.php
- $_DVWA[ 'db_server' ] = '127.0.0.1';
- $_DVWA[ 'db_database' ] = 'dvwa';
- $_DVWA[ 'db_user' ] = 'root';
- $_DVWA[ 'db_password' ] = 'p@ssw0rd';
5. 增加目录 config 和 uploads 文件 phpids_log.txt 可写权限
- root@22072ee3c9ac:~# chmod 777 /var/www/html/DVWA-master/config/
- root@22072ee3c9ac:~# chmod 777 /var/www/html/DVWA-master/hackable/uploads/
- root@22072ee3c9ac:~# chmod 777 /var/www/html/DVWA-master/external/phpids/0.6/lib/IDS/tmp/phpids_log.txt
6. 安装 DVWA
访问 http://172.17.0.2/DVWA-master/setup.php, 点击页面底部 "Create/Reset Database" 创建数据库
访问 http://172.17.0.2/DVWA-master/login.php, 用户名 (admin) 密码(password)
四. 启用 reCAPTCHA
1. 申请 reCAPTCHA 服务
访问 https://www.google.com/recaptcha/
2. 配置 confi.inc.php, 修改秘钥
- root@22072ee3c9ac:~# vim /var/www/html/DVWA-master/config/config.inc.php
- $_DVWA[ 'recaptcha_public_key' ] = '';
- $_DVWA[ 'recaptcha_private_key' ] = '';
3. 验证是否生效
访问 http://172.17.0.2/DVWA-master/setup.php,reCAPTCHA key 变为绿色
访问 http://172.17.0.2/DVWA-master/vulnerabilities/captcha/, 验证码显示正常
来源: https://www.cnblogs.com/faramita2016/p/8961984.html