使用WampServer和DVWA在Windows10上搭建渗透测试环境

作者:荒原之梦

前言:

DVWA是一个具有脆弱性的Web测试应用,需要PHP和MySQL的环境支持。我们可以手动配置DVWA所需的运行环境,也可以使用WampServer进行搭建。WampServer是集成了Apache Web服务器、PHP解释器和MySQL数据库的集成安装环境。本文将介绍使用WampServer和DVWA在Win10上搭建一个渗透测试环境。

操作环境:

Windows10专业版

操作前的准备:

1.下载WampServer(下载地址:https://sourceforge.net/projects/wampserver/?source=directory

2.下载:DVWA(下载地址:http://www.dvwa.co.uk/

一、安装WampServer:

这里我们使用的是WampServer3.1.0 X64.

图 1 这一步选择安装时使用的语言,默认用英语就好了。
图 2 接受协议,下一步。
图 3 继续下一步。
图 4 选择安装路径,建议选择一个非系统盘。
图 5 下一步。
图 6 点击“Install”开始安装。
图 7 安装正在进行中……
图 8 提示让选择默认浏览器。
图 9 选择“是”之后,使用默认,点击“打开”。
图 10 提示让选择默认文本编辑器。
图 11 选择“是”之后,使用默认,点击“打开”

注:在安装快要结束时会弹出防火墙警示,选择“允许访问”即可。

图 12 Finish

安装完成后会在桌面上创建一个WampServer的图标(我们可以在小图标上右键选择语言为中文),双击该图标后Windows会黑屏警示,选择“是”之后,任务栏小图标处会多出一个WampServer的绿色图标,在浏览器输入“127.0.0.1”就会显示WapServer的界面了(如下图所示)。

图 13

二、配置MySQL数据库

安装WampServer的过程中并没有让我们设置数据库账号和密码的步骤,所以此时我们的数据库的root密码还是空的

输入“127.0.0.1/phpmyadmin”进入登录界面:

图 14

用户名root,密码不填,选择服务器为MySQL即可登录MySQL数据库。

接下来我们就要修改MySQL数据库的root密码了,我们在后面配置DVWA的过程中需要用到数据库root用户的密码。

图 15

点击“账户”,我们能看到root用户的密码是空的,点击“修改权限”可以在页面上方看到修改密码的选项,如下图:

图 16

两次输入密码后点击“执行”就可以了:

图 17
图 18

但是当我们再次输入http://127.0.0.1/phpmyadmin/准备登陆MySQL时,却出现了下面的警示:

图 19

这是因为phpmyadmin数据库里面的登录信息还是原来的(而我们以已经在MySQL里修改了root密码),和我们现在使用的root用户的密码不一致。我们使用修改后的密码登陆一下,发现可以登陆,然后再退出,再次输入http://127.0.0.1/phpmyadmin/发现已经没有错误提示了,此时phpmyadmin的数据库登录信息已经更新了。


图 20

三、配置DVWA

首先把我们下载好的DVWA压缩包放到WampServer安装目录里的www文件夹下,解压。(解压后会产生同名的嵌套文件夹,最好去掉一层),将DVWA所在文件夹的名称修改为“dvwa”,将wamp64\www\dvwa\config目录下的config.inc.php.dist文件后面的.disk后缀删除。

图 21 将图中的DVWA-master改成dvwa

之后打开DVWA文件夹中的config文件夹,用Sublime Text3(或其他记事本软件)打开config.inc.php:

图 22 图中的.dist后缀还没有去掉,也可以先修改后去掉.dist后缀

修改其中的数据库密码为我们刚才创建的MySQL数据库的root密码,保存:

图 23

在浏览器输入127.0.0.1/dvwa,输入admin账号和密码,密码默认为password,之后点击“Create / Reset Datebase”即可安装DVWA,安装完成后会自动跳转到登录界面,再次输入admin和password即可登陆,至此渗透测试环境搭建完成:

图 24