Web安全学习笔记之Kali部署DVWA和OWASPBWA

0x0 前言

kali安装完成，下面要进行实战操作了，喵~~（OWASPBWA请直接跳到第八部分）

#既然你诚心诚意的问了,我们就大发慈悲的告诉你!
#为了防止世界被破坏！
#为了守护世界的和平!
#贯彻爱与真实的邪恶！
#可爱又迷人的反派角色！
#武藏 小次郎
#我们是穿梭在银河的火箭队！
#白洞！白色的明天在等着我们！
#就是这样~喵~~~

停...停.....停车！

为了维护世界的和平，打靶的话当然是先需要练习，而DVWA就为我们提供了一个能在自己家里打靶的环境，不用到处煽风点火。

好了，进入教程。

0x1 获取dvwa安装包并解压

从Github获取dvwa压缩包：

wget https://github.com/ethicalhack3r/DVWA/archive/master.zip

已经存在本地了

 

解压并释放到指定文件夹 /var/www/html

unzip -o -d /var/www/html master.zip

进入到/var/www/html文件夹，把解压的文件夹DVWA-master重命名为dvwa

重命名

 

0x2 赋予dvwa文件夹相应权限

先停止apache2服务，以防万一，在终端输入：

service apache2 stop

 

赋予dvwa文件夹相应的755权限，接着在终端中输入：

chmod -R 755 /var/www/html/dvwa

赋予dvwa文件夹内文件相应的755权限，接着在终端中输入：

cd /var/www/html/dvwa/
chmod 755 hackable/uploads/
chmod 755 external/phpids/0.6/lib/IDS/tmp/phpids_log.txt
chmod 755 config/

0x3 配置Mysql数据库

 Kali2018默认是的MariaDB数据库，并不是Mysql，不能按照Mysql的配置来不然会报错

错误信息如下：

Could not connect to MySQL service.

Pls. check the config file.

Your database user is root,if you are using MariaDB, this will not work,pls. read the README.md file.

见下图：

开启MySQL服务，打开终端输入以下命令：

service mysql start

运行如下命令连接 MySQL ，默认是进入MariaDB，

mysql -uroot -p 

需要注意，此时需要输入的密码默认是空，不需要填写，直接Enter跳过即可

进入mysql，并将mysql的密码改为 password

use mysql；
update user set password=PASSWORD('xxxxxx') where User='root'; 

接着逐行进行如下命令行操作：

create user dvwa;
grant all on dvwa.* to dvwa@localhost identified by 'password';
flush privileges;
grant all on dvwa.* to 'dvwa'@'%';
flush privileges;

0x4 配置PHP

配置PHP，GD支持

apt-get install php-gd

 

修改php配置文件

找到 '' /etc/php/7.2/apache2/ '' 文件夹，用文档编辑器打开 '' php.ini '' 文件

更改如下两项：

''allow_url_include=Off'' 改为 ''allow_url_include=On''

''display_errors=Off'' 改为 ''display_errors=On''

进入到  /var/www/html/dvwa/config 文件夹，把配置模版文件config.inc.php.dist 复制一份 , 并命名为config.inc.php

右键，用文档编辑器打开该文件，配置 ‘ReCAPTCHA settings’，将谷】歌生成的keys分别填入如下部分（生成ReCAPTCHA请自行学习）；

ReCAPTCHA需要找谷。歌配置，进入网址 https://www.google.com/recaptcha/admin/create 去生成新的ReCAPTCHA；

谷、歌端配置如下：

01

 02

 

03

继续修改这个文件，将内部的数据库链接配置修改，根据刚刚的设定，用户名是dvwa，密码是password

需要把如下部分改为dvwa和password

'db_user' = 'dvwa';
'db_password' = 'password';

0x5 启动apache2和mysql服务

命令行启动apache2和mysql服务

service apache2 start
service mysql start

 打开kaili的浏览器，地址栏输入 localhost/dvwa，就会跳转到如下界面：

设置界面

 

0x6 在DVWA界面配置数据库

 点击Create/Reset Database，进行DVWA的数据库配置

成功界面：

失败界面：（注意检查数据库配置和config文件内的配置）

0x7 登陆到DVWA

默认用户名和密码是admin/password

成功进入靶场！

0x8 虚拟机安装OWASPBWA靶机系统全家桶

OWASPBWA 是个靶机系统全家福，现在这些靶机系统全部被打包放到一个虚拟机镜像内，请在这里下载（github），解压后用Vmware和VirtualBox直接打开就行；

然后在浏览器的地址栏输入地址，就能进入靶机网页端；

 下面已经罗列各种靶机系统，可以尽情实验了。

0x9 总结

整个配置期间会遇到各种问题，可以多多利用搜索引擎查找各方面的问题，涉及的问题有mysql问题，php配置问题等等。

还是不行的话请按照这个视频来做，需要梯子。