学习搭建环境

最近想学一下安全的一些基本操作,所以搭了几个环境

在这里记录一下搭建的过程

尽量详细><

前置

下载phpstudy
下载dvwa源码: https://github.com/ethicalhack3r/DVWA
下载pikachu源码: https://github.com/zhuifengshaonianhanlu/pikachu
下载sqli-labs源码: https://github.com/Audi-1/sqli-labs
安装好phpstudy后,开启服务

变成这样
把下载好的源码解压并拖到拖到phpstudy安装目录下的www中

DVWA

搭建

修改DVWA-master/config/config.inc.php.dist的文件名为config.inc.php,并用记事本打开,修改数据库密码为root

Snipaste_2020-04-07_18-46-00

$_DVWA[ 'default_security_level' ] = 'low';同一个文件,修改以下默认开启的难度
在浏览器输入http://127.0.0.1/DVWA-master/setup.php,单机创建或重置数据库
进入登陆界面,输入默认用户名:admin,密码:password,ojbk
但是在第三步,一片红红火火恍恍惚惚的,让人有些害怕,所以搞一下

问题

reCAPTCHA key：Missing

DVWA-master/config/config.inc.php文件夹中

找到下述文段,复制粘贴

1 2	$_DVWA[ 'recaptcha_public_key' ] = '6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg'; $_DVWA[ 'recaptcha_private_key' ] = '6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ';

PHP function allow_url_include: Disabled

网上找到的方法是

DVWA-master/php.ini中,把allow_url_include 设置成on

然后我发现这个已经是on了,那么是哪里错了呢?

然后就发现了这么一个好东西

这个可以直接修改phpstudy_pro\Extensions\php里面的配置

所以这个也改一下,重启phpstudy,ojbk

注意!!! 修改的是你这个网站所用的配置文件,由于下一个环境的搭建,我把切换成了5.2.17
进入SQL Injection页面,报错……

Parse error: syntax error, unexpected ‘[‘ in D:\phpstudy_pro\WWW\DVWA-master\vulnerabilities\sqli_blind\index.php on line 65

找到该文件,修改

$num = mysqli_fetch_row( $result )[0];–>$num = mysqli_fetch_row( $result );
PHP function magic_quotes_gpc: Enabled

找不到解决办法><

网上找到都没用跪了: (

做个小小的补充

难度默认是impossible,记得去DVWA security改(经过修改后默认是low了)

pikachu

用笔记本打开pikachu-master\inc\config.inc.php,修改数据库密码为本机的数据库密码

如果是root就不用改了

同理修改一下pikachu-master\pkxss\inc\config.inc.php
访问http://localhost/pikachu-master/
ojbk

sqli-labs

打开sqli-labs-master\sql-connections\db-creds.inc文件，将$dbpass参数值修改为root
进入http://127.0.0.1/sqli-labs-master/,点击Setup/reset Database for labs
但是报错了

出现这个问题是因为从PHP5.0开始mysql_connect()就不推荐使用了，到PHP7.0就直接被废弃了，如果PHP为7.0及以上版本的话用mysqli_connect()代替
所以到phpstudy改一下
重新Setup/reset Database for labs一下,出现以下界面

站点目录

虽然这样之后就可以用了

http://localhost/DVWA-master进入DVWA

http://localhost/pikachu-master/进入pikachu

http://localhost/sqli-labs-master/进入sqli-labs

但是,每次输入那么多字,烦都烦死了,所以有没有什么方便的方法,搞个站点目录,直接点击进入呢?

从图中我们发现

Snipaste_2020-04-07_19-26-46

网站的首页是index.php或者index.html

点开www目录,确实有index.html文件

所以我们把该文件编辑一下

~~自己改写的辣鸡代码,就动了以下body和排版,大家可以自己修改一下(跪)~~

<!DOCTYPE html>
<html lang="zh-CN">

<head>
  <meta charset="utf-8">
  <title>站点创建成功-phpstudy for windows</title>
  <meta name="keywords" content="">
  <meta name="description" content="">
  <meta name="renderer" content="webkit">
  <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
  <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
  <meta name="apple-mobile-web-app-status-bar-style" content="black">
  <meta name="apple-mobile-web-app-capable" content="yes">
  <meta name="format-detection" content="telephone=no">
  <meta HTTP-EQUIV="pragma" CONTENT="no-cache">
  <meta HTTP-EQUIV="Cache-Control" CONTENT="no-store, must-revalidate">
  <meta HTTP-EQUIV="expires" CONTENT="Wed, 26 Feb 1997 08:21:57 GMT">
  <meta HTTP-EQUIV="expires" CONTENT="0">
  <style>
    body {
      font: 16px arial, 'Microsoft Yahei', 'Hiragino Sans GB', sans-serif;
    }

    h1 {
      margin: 0;
      color: #3a87ad;
      font-size: 26px;
    }

    .content {
      width: 45%;
      margin: 0 auto;

    }

    .content>div {
      margin-top: 200px;
      padding: 20px;
      background: #d9edf7;
      border-radius: 12px;
    }

    .content dl {
      color: #2d6a88;
      line-height: 40px;
    }

    .content div div {
      padding-bottom: 20px;
      text-align: center;
    }
  </style>
</head>

<body>
  <div class="content">
    <div>
      <h1>站点创建成功</h1>
      <dl>
        <dt>目录说明:</dt>
        <a href="./DVWA-master/">DVWA</a>
        <br>
        <a href="./pikachu-master/">pikachu</a>
        <br>
        <a href="./sqli-labs-master/">sqli-labs</a>
      </dl>
    </div>
</body>

</html>