首页 > 系统相关 >Linux 部署DVWA靶场

Linux 部署DVWA靶场

时间:2024-07-22 14:18:56浏览次数:13  
标签:... password DVWA Linux 靶场 php root mariadb

Linux 部署DVWA靶场

DVWA是一款开源的网络安全漏洞实践平台,专为安全学习者设计。它涵盖了XXS、SQL注入、文件上传、文件包含、CSRF和暴力破解等多种安全漏洞环境,每个漏洞都有从简单到复杂的多个难度级别。

环境部署

安装httpd及其相关的组件

yum install -y httpd httpd-devel

image-20240423081704105

安装php及其相关组件

yum -y install php php-gd php-ldap php-odbc php-pear php-xml php-xmlrpc php-mysql

image-20240423081750200

安装mariadb数据库

yum install -y mariadb mariadb-server mariadb-libs mariadb-devel

image-20240423081936926

启动服务并设置自启动

systemctl start httpd
systemctl start mariadb
systemctl enable httpd
systemctl enable mariadb

打开防火墙

sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --reload

数据库初始化设置

mysql_secure_installation
Enter current password for root (enter for none):  # 刚安装密码为空,直接Enter
OK, successfully used password, moving on...

Setting the root password ensures that nobody can log into the MariaDB
root user without the proper authorisation.

Set root password? [Y/n] y  #设置root密码
New password: 
Re-enter new password: 
Password updated successfully!
Reloading privilege tables..
 ... Success!


By default, a MariaDB installation has an anonymous user, allowing anyone
to log into MariaDB without having to have a user account created for
them.  This is intended only for testing, and to make the installation
go a bit smoother.  You should remove them before moving into a
production environment.

Remove anonymous users? [Y/n] y  #是否移除匿名用户
 ... Success!

Normally, root should only be allowed to connect from 'localhost'.  This
ensures that someone cannot guess at the root password from the network.

Disallow root login remotely? [Y/n] y  #是否禁止使用root用户进行远程连接数据库
 ... Success!

By default, MariaDB comes with a database named 'test' that anyone can
access.  This is also intended only for testing, and should be removed
before moving into a production environment.

Remove test database and access to it? [Y/n] y  #是否移除测试数据库
 - Dropping test database...
 ... Success!
 - Removing privileges on test database...
 ... Success!

Reloading the privilege tables will ensure that all changes made so far
will take effect immediately.

Reload privilege tables now? [Y/n] y  #是否重新分配权限
 ... Success!

Cleaning up...

All done!  If you've completed all of the above steps, your MariaDB
installation should now be secure.

Thanks for using MariaDB!

测试环境是否安装成功

在浏览器中使用ip进行访问

image-20240423082839560

出现该页面表示安装成功

安装DVWA

DVWA项目github地址:

我这里下载的是中文版

下载后将压缩包上传至 /var/www/html 下

image-20240423083634319

进行解压并重命名文件夹

unzip DVWA-Chinese-main.zip
mv DVWA-Chinese-main DVWA

image-20240423083922340

进入DVWA-master/config/目录下,编辑config.inc.php文件

vim config.inc.php

配置如下

$_DVWA[ 'db_server' ]   = 'localhost';  # 将127.0.0.1修改为localhost
$_DVWA[ 'db_database' ] = 'dvwa';  # 数据库名称
$_DVWA[ 'db_user' ]     = 'root';  # 数据库账号
$_DVWA[ 'db_password' ] = 'root';  # 数据库密码
$_DVWA[ 'db_port'] = '3306';

修改 ./DVWA/hackable/uploads/ 文件夹权限

chmod 777 /var/www/html/DVWA/hackable/uploads/

编辑php配置文件php.ini该文件一般是在/etc/php.ini路径

vim /etc/php.ini

allow_url_include = Off 修改为 allow_url_include = On (大概在815行)

重启apache服务

systemctl restart httpd

通过ip/DVWA进行访问(我直接点击创建数据库了,没来得及截图,盗了一张)

image-20240423085533610

点击创建/重置数据库,底部会显示

image-20240423085653883

点击 login,进入登录页面

image-20240423085340961

标签:...,password,DVWA,Linux,靶场,php,root,mariadb
From: https://www.cnblogs.com/test-gang/p/18315898

相关文章

  • Linux常用命令
    命令格式:命令字[选项][参数]pwd   查看当前工作目录cd切换工作目录                cd/etc/:从当前目录切换到跟目录下的etc下        cd-:切换到上次切换的目录(切换前的目录),常用于两个文件夹之间相互切换            ......
  • Linux目录和文件管理
    1、cat查看文件内容  cat/etc/sysconfig/selinux2、more和less都是全屏显示文件内容  more查看内容超过一屏进行分频那个显示,并在左下角显示百分比,可以按Enter键向下逐行滚动查看,按Space键可以向下翻一屏   less与more命令类似,less命令结合管道符号“|”......
  • linux-批量修改文件内容
    1.批量修改文件内容$find.-typef-execsed-i's/oldname/newname/g'{}+#此命令含义:在当前目录及其所有子目录中查找所有文件,并对这些文件执行sed命令,将文件内容中的所有oldname字符串替换为newname。#find.:从当前目录(.)开始查找文件。#typef:指定查找的类型为文......
  • Nexpose v6.6.261 for Linux & Windows - 漏洞扫描
    Nexposev6.6.261forLinux&Windows-漏洞扫描Rapid7VulnerabilityManagement,releaseJul17,2024请访问原文链接:https://sysin.org/blog/nexpose-6/,查看最新版。原创作品,转载请保留出处。作者主页:sysin.org您的本地漏洞扫描程序搜集通过实时覆盖整个网络,随......
  • Nessus Professional 10.7.5 Auto Installer for RHEL 9/AlmaLinux 9/Rocky Linux 9 (
    NessusProfessional10.7.5AutoInstallerforRHEL9/AlmaLinux9/RockyLinux9(updatedJul2024)发布Nessus试用版自动化安装程序,支持macOSSonoma、RHEL9和Ubuntu24.04请访问原文链接:https://sysin.org/blog/nessus-auto-install-for-rhel-9/,查看最新版。原创作......
  • Acunetix v24.7 (Linux, Windows) - Web 应用程序安全测试
    Acunetixv24.7(Linux,Windows)-Web应用程序安全测试Acunetix|WebApplicationSecurityScanner请访问原文链接:https://sysin.org/blog/acunetix/,查看最新版。原创作品,转载请保留出处。作者主页:sysin.org重要提示AcunetixPremium现在使用日历化版本命名。请注意,从......
  • Metasploit Pro 4.22.2-2024071501 (Linux, Windows) - 专业渗透测试框架
    MetasploitPro4.22.2-2024071501(Linux,Windows)-专业渗透测试框架Rapid7Penetrationtesting,releaseJul15,2024请访问原文链接:https://sysin.org/blog/metasploit-pro-4/,查看最新版。原创作品,转载请保留出处。作者主页:sysin.org世界上最广泛使用的渗透测试框架......
  • 一些linux命令行方法
    复制部分文件要在Linux中复制整个文件夹但排除WAV和FIG文件,你可以使用rsync命令并结合多个--exclude参数来实现。以下是一个示例命令:rsync-av--exclude='*.wav'--exclude='*.fig'source_folder/destination_folder/-a:表示以归档模式复制文件夹,保留所有文件属性......
  • 如何用 WinDbg 调试Linux上的 .NET程序
    一:背景1.讲故事最新版本1.2402.24001.0的WinDbg真的让人很兴奋,可以将自己伪装成GDB来和远程的GDBServer打通来实现对Linux上.NET程序进行调试,这样就可以继续使用熟悉的WinDbg命令,在这个版本中我觉得WinDbg不再是WinDbg,而是XDbg了,画个简图如下:简图有了,接下来就......
  • linux系统基础:查找文件 20240722
    在Shell中查找文件是一个常见的任务,可以使用多种工具来完成,例如find、locate、grep等。以下是一些使用这些工具的示例。1.使用find命令find命令是最常用的文件查找工具之一,它在指定目录及其子目录下搜索符合条件的文件。示例:查找/home/user目录下所有以.txt结尾的文件。find......