網(wǎng)站滲透學(xué)習(xí)之漏洞環(huán)境搭建

時(shí)間：2023-05-31 09:45:02 | 來(lái)源：網(wǎng)站運(yùn)營(yíng)

時(shí)間：2023-05-31 09:45:02 來(lái)源：網(wǎng)站運(yùn)營(yíng)

網(wǎng)站滲透學(xué)習(xí)之漏洞環(huán)境搭建：最近沒(méi)事在網(wǎng)上搜索了一下 “黑客網(wǎng)站”這個(gè)關(guān)鍵詞，發(fā)現(xiàn)以前比較知名的“ 黑客網(wǎng)站 ”都早已不復(fù)存在?？梢娺@些年國(guó)家在互聯(lián)網(wǎng)方面的 凈網(wǎng)行動(dòng) 取得了很不錯(cuò)的成果，在國(guó)家的監(jiān)管下很多“ 黑客網(wǎng)站”，都開始轉(zhuǎn)型做了 “ 網(wǎng)絡(luò)安全”。大多數(shù)” 黑客網(wǎng)站“的站長(zhǎng)也開始收斂，不在像以前那樣明目張膽的到處浪，像以前錄制個(gè)” 滲透教程 “，都是直接拿著別人網(wǎng)站來(lái)開刀的，一套教程下來(lái)也不知道要禍害多少個(gè)網(wǎng)站。

個(gè)人忠告

上面介紹了這么多，主要是想讓你遵守國(guó)家法律。玩“ 滲透入侵 ”沒(méi)關(guān)系，但是要在法律允許的框架內(nèi)玩。不然有一天自己怎么進(jìn)去了，都還不知道。

DVWA簡(jiǎn)介

下面來(lái)講一下 DVWA漏洞環(huán)境 的搭建，DVWA是一款滲透測(cè)試的演練系統(tǒng)，其中包含比較常見的 SQL注入、Xss攻擊、文件包含、文件上傳、等漏洞，用于給我們提供 “ 滲透 ”練習(xí)。

使用工具介紹

• DVWA源碼
• PHPWAMP（網(wǎng)站集成環(huán)境）

網(wǎng)站環(huán)境

在本機(jī)上搭建網(wǎng)站環(huán)境，“ 斷刀流 ” 還是 比較喜歡用 PHPWAMP 這個(gè)集成環(huán)境。（PHPWAMP具體介紹看《如何在本地搭建個(gè)人社工庫(kù)》這篇文章），打開PHPWAMP選擇網(wǎng)站運(yùn)行服務(wù)配置，“ 斷刀流”用的配置是 Nginx+MySql + php5.6。點(diǎn)擊-->Nginx網(wǎng)站根目錄 按鈕，打開網(wǎng)站根目錄后，把DVWA源碼解壓放到網(wǎng)站根目錄。(DVWA源碼在文章后面下載)

修改配置文件

進(jìn)入網(wǎng)站根目錄 打開config目錄，把 config目錄下的config.inc.php.dist 文件，在當(dāng)前目錄下復(fù)制一份，并且重命名為 config.inc.php。然后用記事本打開 config.inc.php 文件，找到db_user和db_password這倆行，在等號(hào)后面的單引號(hào)里面，分別填寫上你的數(shù)據(jù)庫(kù)賬號(hào)和密碼。如果你是用 PHPWAMP 搭建的，數(shù)據(jù)庫(kù)賬號(hào)密碼可以在 數(shù)據(jù)庫(kù)工具面板查看。

安裝DVWA

上面config.inc.php配置文件修改保存后，就可已在數(shù)據(jù)庫(kù)里安裝創(chuàng)建DVWA數(shù)據(jù)表了，像我是在本地搭建的，直接訪問(wèn) http://127.0.0.1/setup.php頁(yè)面，頁(yè)面中有一個(gè) Create / Reset Database 的按鈕，點(diǎn)擊 Create / Reset Database 按鈕 完成數(shù)據(jù)庫(kù)的創(chuàng)建。（頁(yè)面太大按鈕沒(méi)有截出來(lái)）

登陸DVWA

數(shù)據(jù)庫(kù)創(chuàng)建好后會(huì)自動(dòng)跳轉(zhuǎn)到登陸頁(yè)面，默認(rèn)的 賬號(hào) admin 密碼為 password，DVWA因?yàn)槭菄?guó)外開發(fā)的漏洞系統(tǒng)，后臺(tái)頁(yè)面自然也都是英文的，如果看著感覺(jué)有困難，可以自己去下載一個(gè)有道詞典。

SQL注入嘗嘗鮮

DVWA系統(tǒng)有點(diǎn)像你小時(shí)候 打魂斗羅 的感覺(jué)，漏洞有難度等級(jí)劃分。就感覺(jué)在闖關(guān)一樣，難度可以自行在 DVWA Security 頁(yè)面調(diào)整。下面來(lái)給大家演示一下 SQL注入漏洞，在編輯框輸入ID點(diǎn)擊Submit按鈕，就會(huì)在頁(yè)面顯示當(dāng)前ID對(duì)應(yīng)的姓名。但是因?yàn)轫?yè)面缺少過(guò)濾，就會(huì)把編輯框輸入的東西，全都帶進(jìn)數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)執(zhí)行了這些精心構(gòu)建的語(yǔ)句，就會(huì)爆出不必要的敏感信息。如下：

安全小提示

DVWA漏洞系統(tǒng) 建議千萬(wàn)不要部署在外網(wǎng)服務(wù)器上，這些漏洞都是實(shí)打?qū)嵈嬖诘?。別 ” 滲透測(cè)試“ 都還沒(méi)學(xué)會(huì)，老窩都讓人給端了，那就非常尷尬了。想學(xué)習(xí)好 ” 滲透測(cè)試 “沒(méi)事就用這個(gè)漏洞系統(tǒng) 多加練習(xí)，先把這些基礎(chǔ)的東西都搞熟練了，有機(jī)會(huì)在去真機(jī)上實(shí)戰(zhàn)。

---

文章聲明
此文章只用于技術(shù)交流學(xué)習(xí)，切勿用作非法用途，否則后果自負(fù)。