前言:
XAMPP是一个Web应用程序运行环境集成软件包,包括MySQL、PHP、PerI和Apache的环境及Apache、MySQL、FilleZilla、Mercury和Tomecat等组件。DVWA是一个用于练习渗透测试的脆弱系统,可作为渗透测试的演练靶场。本文将介绍使用XAMPP和DVWA搭建Web渗透测试环境。
操作环境:
Windows7旗舰版
操作前的准备:
1.下载XAMPP
官网下载链接:https://www.apachefriends.org/download.html
2.下载DVWA
官网下载链接:http://www.dvwa.co.uk/
安装XAMPP
双击XAMPP安装包,但却弹出了如下的警示信息:
图 1 警示说“你的机器上正在运行着杀毒软件,在某些情况下杀软会减慢或者干涉软件的安装”,这里我们先选择“是”,如果安装不成功,我们再把杀软关掉,重新安装XAMPP。
图 2 Next
图 3 Next
图 4 Next
图 5 Next
图 6 Next
图 7 Installing
图 8 安装完成
在开始按钮的“所有程序”处找到刚刚安装的XAMPP打开XAMPP Control Panel(XAMPP控制面板)。
图 9
其中红色的“X”表示该组件尚未设置成Windows的系统服务,空白的框则表示没有安装该组件。我们可以点击红色的X将对应的组件设置成系统服务,当然,不设置成系统服务也可以点击“start”启动对应的服务。
在这里我们点击start启动Apache和MySQL两个组件,稍等一会后在浏览器输入127.0.0.1/phpmyadmin就可以进入MySQL数据库。进MySQL数据库并没有要求我们输入帐号和密码进行登录,因为此时MySQL的root账户等其他几个账户的密码默认是空的,我们可以通过“账户->修改权限->修改密码”对用户进行密码修改操作:
图 10
这里我们修改的是本地root用户的密码,输入密码后点击“执行”就可以看到密码修改成功的提示了。
图 11
但是当我们刷新127.0.0.1/phpmyadmin时却出现了如下的错误提示:
图 12
这是因为我们刚才只是修改了MySQL的root密码,但是phpmyadmin和MySQL进行通信的密码还默认是原来的空密码,没有更新成我们现在使用的密码。解决办法是,用Sublime Text 3(Sublime Text 3官网:http://www.sublimetext.com/)打开xamppphpMyAdmin目录下的config.inc.php文件夹
$cfg['Servers'][$i]['password'] = '';在这一行的单引号里填入刚才设置的本地root用户的密码,保存。
图 13
此时再刷新127.0.0.1/phpmyadmin就可以登录了。
配置DVWA
将下载的DVWA的压缩包复制到xampphtdocs目录下,解压,去掉压缩产生的嵌套文件夹,将DVWA默认的文件名改为dvwa。
图 14
在浏览器里输入127.0.0.1/dvwa,回车,显示错误:
“DVWA System error - config file not found. Copy config/config.inc.php.dist to config/config.inc.php and configure to your environment.”
翻译一下大致意思就是:“DVWA系统错误-配置文件没有找到。复制配置/ config.inc.php.dist到/ config.inc.php并配置您的环境。”
按照这段提示,我们去刚才放置dvwa的目录下,打开config目录,将其中的/config.inc.php.dist该名为/config.inc.php(即去掉.dist),之后刷新http://127.0.0.1/dvwa即可打开dvwa:
图 15
打开xampphtdocsdvwaconfig目录下的config.inc.php文件(即刚才修改过后缀名的文件)
$_DVWA[ 'db_password' ] = 'p@ssw0rd';在这一行的p@ssw0rd换成之前修改的MySQL数据库的root用户密码,保存。
点击http://127.0.0.1/dvwa页面下方的“Create / Reset Datebase”即可。
图 16
创建完成后自动进入登录页面,账户是admin,密码是password。
图 17
成功登陆
图 18
注:每次打开DVWA之前都需要到XAMPP的控制台确定已经启动Apache和MySQL的服务。
如何在Windows10上搭建渗透测试环境?请查看我的另一篇文章使用WampServer和DVWA在Windows10上搭建渗透测试环境
end
更多内容请访问我的个人网站荒原之梦