01WEB漏洞环境搭建

本文涉及的产品
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
云数据库 RDS PostgreSQL,集群系列 2核4GB
简介: 【1月更文挑战第4天】给单位零基础小伙伴准备的网安入门教程,本教程是基于蚁景实验室搭建,基于自建虚拟机搭建需自行准备前置环境,01WEB漏洞环境搭建

预备知识 **1.DVWA靶场** Web应用程序(DVWA)是一个很容易受到攻击的PHP / MySQL Web应用程序。其主要目标是帮助安全专业人员在法律环境中测试他们的技能和工具,帮助Web开发人员更好地了解保护Web应用程序的过程,并帮助学生和教师了解受控类中的Web应用程序安全性房间环境。 DVWA的目标是通过简单直接的界面练习一些最常见的Web漏洞,具有各种难度。请注意,此软件存在记录和未记录的漏洞。 DVWA共有十个模块,分别是: Brute Force(暴力破解) CommandInjection(命令行注入) CSRF(跨站请求伪造) FileInclusion(文件包含) File Upload(文件上传) InsecureCAPTCHA (不安全的验证码) SQLInjection(SQL注入) SQLInjection(Blind)(SQL盲注) XSS(Reflected)(反射型跨站脚本) XSS(Stored)(存储型跨站脚本) **2.SQLilabs靶场** SQLi-Labs 是一个专业的SQL注入练习平台,它是只专注SQL注入漏洞,以便研究学习SQL注入的整个注入过程,适用于GET和POST场景。 **3.FileUploads靶场** PHP语言编写,持续收集渗透测试和CTF中针对文件上传漏洞的靶场,总共21关,每一关都包含着不同的上传绕过方式。

实验目的 通过本实验学会如何利用Phpstudy搭建DVWA,SQLilabs和FileUploads环境。

实验步骤 **步骤一:搭建DVWA靶场** 下载文件,在实验机中打开浏览器输入 http: //tools.hetianlab.com/tools/web_bc_env.zip 弹出

image.png

image.png

解压此文件,文件里面包含这三个文件

image.png

打开桌面的phpstudy软件(自建虚拟机搭建需自行准备)

image.png

确保Apache和Nysql是开启状态

image.png

将php版本换成php5.4.45

image.png

将下载好的dvwa文件放置在phpstudy_pro下的www下

image.png

image.png

找到dvwa文件的config下的config.inc.php.dist,修改其内容

image.png

image.png

image.png

6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg 6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ

image.png

修改完保存,并且把config.inc.php.dis修改为config.inc.php 进入如图目录,进入php.ini

image.png

在编辑中找到查找,输入allow_url_include,将Off修改为On,并保存。 因为allow_url_fopen=On和allow_url_include=On时,include等其他包含函数才会将URL代表的文件包含执行。

image.png

image.png

打开浏览器输入网址 127.0.0.1/dvwa 跳转至下图,滑至底部,点击如图

image.png

image.png

等待一会,跳转至下图网页,输入账号:admin 密码:password  就可以进入啦。

image.png

image.png

**步骤二:搭建SQLilabs靶场** 打开Phpstudy,确保Apache和MySQL开启 将下载好的sqli-labs文件放置在phpstudy_pro下的www下

image.png

将sqli-labs文件重命名为sql

image.png

在sql目录下找到sql-connections文件

image.png

在sql-connections下进入db_creds.inc

image.png

修改文件

image.png

打开游览器,进入127.0.0.1/sql 跳转至下图

image.png

创建数据库

image.png

这就是第一页内容

image.png

还有page2,3,4

image.png

**步骤三:搭建FileUploads靶场** 这个搭建比较简单 依然是打开Phpstudy软件,保证Apache和MySQL开启 将下载好的文件放置在phpstudy_pro下的www中,并重命名为upload

image.png

打开游览器输入127.0.0.1/upload,跳转至下图界面,就搭建完成了。

image.png

**课后问题**:如不借助phpstudy软件,如何搭建Apache和MySQL服务? 要在没有使用PHPStudy软件的情况下搭建Apache和MySQL服务,可以按照以下步骤进行操作: 搭建Apache服务器: 1. 下载Apache服务器:前往Apache官方网站(https://httpd.apache.org/)下载适用于您操作系统的Apache安装包。选择稳定版本,并确保与您的操作系统兼容。 1. 安装Apache服务器:解压下载的Apache安装包,并将其放置在您选择的目录中(例如,C:\Apache)。然后,运行安装程序,按照提示进行安装。 1. 配置Apache服务器:进入安装目录,在 conf 目录下找到 httpd.conf 文件,并使用文本编辑器打开该文件。根据您的需求,修改配置文件中的参数,例如监听端口、文档根目录等。保存并关闭文件。 1. 启动Apache服务器:在命令行中,进入到 Apache 的 bin 目录(例如,C:\Apache\bin),运行命令 httpd 或 httpd.exe 来启动Apache服务器。 搭建MySQL数据库服务器: 1. 下载MySQL数据库:前往MySQL官方网站(https://www.mysql.com/)下载适用于您操作系统的MySQL安装包。选择稳定版本,并确保与您的操作系统兼容。 1. 安装MySQL数据库:运行下载的MySQL安装包,并按照提示进行安装。在安装过程中,可以选择自定义安装选项,并根据需要进行配置。 1. 配置MySQL数据库:在安装目录中找到 my.ini 或 my.cnf 文件,并使用文本编辑器打开该文件。根据您的需求,修改配置文件中的参数,例如端口号、字符集等。保存并关闭文件。 1. 启动MySQL数据库:在命令行中,进入到 MySQL 的 bin 目录(例如,C:\MySQL\bin),运行命令 mysqld 或 mysqld.exe 来启动MySQL数据库服务。

相关实践学习
如何快速连接云数据库RDS MySQL
本场景介绍如何通过阿里云数据管理服务DMS快速连接云数据库RDS MySQL,然后进行数据表的CRUD操作。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助     相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
相关文章
|
2月前
|
缓存 移动开发 安全
Web安全-HTTP响应拆分(CRLF注入)漏洞
Web安全-HTTP响应拆分(CRLF注入)漏洞
171 1
|
3月前
|
安全 关系型数据库 MySQL
Web安全-条件竞争漏洞
Web安全-条件竞争漏洞
56 0
|
3月前
|
缓存 移动开发 安全
Web安全-HTTP响应拆分(CRLF注入)漏洞
Web安全-HTTP响应拆分(CRLF注入)漏洞
208 8
|
3月前
|
安全 关系型数据库 Shell
Web安全-浅析CSV注入漏洞的原理及利用
Web安全-浅析CSV注入漏洞的原理及利用
175 3
|
3月前
|
安全 应用服务中间件 开发工具
Web安全-SVN信息泄露漏洞分析
Web安全-SVN信息泄露漏洞分析
228 2
|
3月前
|
JSON 安全 JavaScript
Web安全-JQuery框架XSS漏洞浅析
Web安全-JQuery框架XSS漏洞浅析
560 2
|
3月前
|
安全 搜索推荐 应用服务中间件
Web安全-目录遍历漏洞
Web安全-目录遍历漏洞
97 2
|
3月前
|
安全 关系型数据库 MySQL
Web安全-任意文件下载漏洞
Web安全-任意文件下载漏洞
186 5
|
3月前
|
XML JSON 安全
Web安全-XXE漏洞
Web安全-XXE漏洞
34 1
|
3月前
|
开发框架 安全 .NET
Web安全-文件上传漏洞与WAF绕过
Web安全-文件上传漏洞与WAF绕过
207 4