DVWA(Damn Vulnerable Web Application)是一個包含一些基本W(wǎng)EB漏洞的web應用，特別適合新手入門WEB滲透，其中有不同的難度和源碼展示，讓小白更深入的理解漏洞產生的原因以及攻擊的時候在代碼層面發(fā)生了什么。本文主要講述DVWA的搭建教程，而使用教程在freebuf上面有比較完整的。而類似這種平臺的還有webgoat,但會屬于稍微進階點的，偏實戰(zhàn)的。

網(wǎng)上其實有很多DVWA的搭建教程，但感覺都不怎么適合協(xié)會這邊的新手，所以給出一套教程，也方便互動。

DVWA是基于PHP/MYSQL的，所以需要這些基本環(huán)境，而這些環(huán)境的教程在我的另外一篇博客有。

一、下載

直接下載它的github的archive即可，去官網(wǎng)也是這個下載鏈接。

二、安裝

將剛才下載好的壓縮包解壓至web根目錄，像wamp的就可以通過電腦左下角的wamp圖標左鍵單擊出來的功能列表中的www directory進入，這個在搭建教程中也有提到，而這個目錄其實就是wamp安裝目錄下的www文件夾，像我的就是E:\wamp64\www

image

解壓完成后需要重命名成dvwa，方便訪問和管理

image

然后直接在瀏覽器訪問http://localhost/dvwa，記得開wamp。

訪問之后會提示沒有配置文件，所以要將dvwa中的config/config.inc.php.dist復制一份重命名為config.inc.php，再刷新就可以看到。

image

有一個function是紅的，由于要做滲透測試，所以需要打開它。

還是像上面那個操作，電腦左下角的wamp圖標左鍵單擊出來的功能列表中的PHP，可以有兩種方法，一種是勾選-PHP設置-allow_url_include，一種是點擊php.ini，會打開php配置文件，然后搜索allow_url_include，將指改為allow_url_include = On

image

其實這步不做也可以，但是為了里面的一些測試做一下。

接下來就是修改配置文件了，上面提到的config/config.inc.php,在里面修改數(shù)據(jù)庫以及一些配置

主要修改的是數(shù)據(jù)庫密碼和默認等級

image

如果不知道數(shù)據(jù)庫密碼的可以試一下空，或者自己百度如何修改忘記的MYSQL數(shù)據(jù)庫密碼。修改完之后，點擊下面的創(chuàng)建數(shù)據(jù)庫，如果成功了有如下圖一樣的出現(xiàn)Setup success，如果不成功，會提示失敗原因

image

然后點擊login跳到登錄界面，使用admin/password即可登錄DVWA