1. DVWA靶场简介与核心价值DVWADamn Vulnerable Web Application是我见过最适合新手入门的Web安全实战平台。这个用PHP/MySQL开发的故意留漏洞的靶场包含了渗透测试中最常见的十大漏洞类型。第一次接触它是在2015年当时为了准备CISP认证考试这个靶场帮我搞定了80%的实操考点。最让我惊喜的是它的模块化设计——每个漏洞场景都有低、中、高三种安全等级。比如在SQL注入模块低等级就是完全不设防的基础漏洞中等级会加入基础过滤高等级则采用预编译语句。这种阶梯式设计特别适合观察防御机制如何逐步生效比直接看理论文档直观十倍。靶场内置的十大漏洞模块基本覆盖了OWASP TOP10暴力破解体验密码爆破的完整流程命令注入理解系统命令执行的危害文件包含本地/远程包含漏洞的经典案例文件上传绕过上传限制的N种姿势SQL注入包括普通注入和盲注两种场景XSS攻击反射型与存储型的完整对比2. 环境准备三套方案任你选2.1 方案一phpStudyWindows首选新手我强烈推荐phpStudy这个集成环境把Apache、MySQL、PHP全都打包好了。最新版v8.1实测兼容PHP5.4-7.4多个版本正好匹配DVWA要求。安装时有个坑要注意必须勾选安装VC运行库。我有次没勾选启动时直接报错0xc000007b重装三次才发现问题。安装完成后记得在设置里切换PHP版本到5.4-7.4之间的版本DVWA在PHP8会报错。2.2 方案二XAMPP跨平台方案Mac用户可以用XAMPP操作逻辑和phpStudy类似。但要注意Mac系统默认占用80端口需要先执行这条命令释放端口sudo apachectl stop启动XAMPP后建议修改MySQL默认密码。有次我用默认空密码第二天就发现被人植入了挖矿脚本...2.3 方案三Docker极简方案如果你已经装了Docker下面这两条命令就能搞定环境docker pull vulnerables/web-dvwa docker run -d -p 80:80 vulnerables/web-dvwa这种方案最干净测试完直接docker rm删除容器就行。不过对新手来说可能不如图形化工具直观。3. 详细部署步骤以phpStudy为例3.1 下载与解压技巧DVWA的GitHub源码有两个下载方式直接下载ZIP包适合网络不稳定时Git克隆方便后续更新我建议用第一种方式但解压时要注意必须解压到phpStudy的www目录。有学员把文件夹放在桌面结果死活访问不了。Windows默认路径通常是C:\phpStudy\PHPTutorial\WWW\解压后记得重命名文件夹为dvwa太长路径名可能导致配置文件加载失败。3.2 关键配置文件修改进入config目录把config.inc.php.dist复制一份并重命名为config.inc.php。用记事本打开后重点关注这几个参数$_DVWA[db_server] 127.0.0.1; // 不要用localhost $_DVWA[db_user] root; // phpStudy默认账号 $_DVWA[db_password] root; // 默认密码 $_DVWA[db_database] dvwa; // 数据库名保持默认特别提醒PHP7环境下需要取消注释这行配置# $_DVWA[recaptcha_public_key] ; # $_DVWA[recaptcha_private_key] ;3.3 数据库初始化在浏览器访问http://localhost/dvwa/setup.php点击Create/Reset Database按钮。这里有个玄学问题如果页面卡住试试把127.0.0.1换成你本机实际IP。成功后会看到绿色提示默认登录账号密码是admin / password强烈建议首次登录后立即修改密码4. 常见问题排查指南4.1 连接数据库失败如果看到Could not connect to the database错误按这个顺序检查MySQL服务是否启动phpStudy显示绿灯配置文件中的密码是否与MySQL一致防火墙是否放行3306端口4.2 页面显示乱码这是因为PHP默认字符集设置问题。在phpStudy中找到php.ini搜索default_charset改为default_charset utf-84.3 文件上传失败检查两个地方php.ini中的upload_max_filesize建议设为20MDVWA目录的uploads文件夹权限Windows需要给Users组写入权限5. 安全防护建议虽然是本地环境但还是要提醒几个安全注意事项不要用root账号在phpStudy中新建一个专用MySQL账号修改默认路径把dvwa改名为不易猜测的目录名定期备份数据库用phpStudy的MySQL管理器导出SQL文件关闭远程访问在my.ini中添加bind-address127.0.0.1有次我在公司内网测试时忘记改默认密码结果被安全部门扫描出来通报批评。这些教训希望大家引以为戒。6. 进阶玩法推荐等基础环境玩熟后可以尝试这些扩展用Burp Suite抓包分析漏洞利用过程修改源码自己实现防御逻辑搭配Metasploit进行联合渗透测试在虚拟机中搭建模拟真实网络环境最近我在DVWA基础上二次开发加入了JWT令牌破解模块。这种定制化改造对深入理解漏洞原理特别有帮助。
【靶场部署】保姆级指南——DVWA靶场本地化部署与实战环境配置
发布时间:2026/5/18 17:59:16
1. DVWA靶场简介与核心价值DVWADamn Vulnerable Web Application是我见过最适合新手入门的Web安全实战平台。这个用PHP/MySQL开发的故意留漏洞的靶场包含了渗透测试中最常见的十大漏洞类型。第一次接触它是在2015年当时为了准备CISP认证考试这个靶场帮我搞定了80%的实操考点。最让我惊喜的是它的模块化设计——每个漏洞场景都有低、中、高三种安全等级。比如在SQL注入模块低等级就是完全不设防的基础漏洞中等级会加入基础过滤高等级则采用预编译语句。这种阶梯式设计特别适合观察防御机制如何逐步生效比直接看理论文档直观十倍。靶场内置的十大漏洞模块基本覆盖了OWASP TOP10暴力破解体验密码爆破的完整流程命令注入理解系统命令执行的危害文件包含本地/远程包含漏洞的经典案例文件上传绕过上传限制的N种姿势SQL注入包括普通注入和盲注两种场景XSS攻击反射型与存储型的完整对比2. 环境准备三套方案任你选2.1 方案一phpStudyWindows首选新手我强烈推荐phpStudy这个集成环境把Apache、MySQL、PHP全都打包好了。最新版v8.1实测兼容PHP5.4-7.4多个版本正好匹配DVWA要求。安装时有个坑要注意必须勾选安装VC运行库。我有次没勾选启动时直接报错0xc000007b重装三次才发现问题。安装完成后记得在设置里切换PHP版本到5.4-7.4之间的版本DVWA在PHP8会报错。2.2 方案二XAMPP跨平台方案Mac用户可以用XAMPP操作逻辑和phpStudy类似。但要注意Mac系统默认占用80端口需要先执行这条命令释放端口sudo apachectl stop启动XAMPP后建议修改MySQL默认密码。有次我用默认空密码第二天就发现被人植入了挖矿脚本...2.3 方案三Docker极简方案如果你已经装了Docker下面这两条命令就能搞定环境docker pull vulnerables/web-dvwa docker run -d -p 80:80 vulnerables/web-dvwa这种方案最干净测试完直接docker rm删除容器就行。不过对新手来说可能不如图形化工具直观。3. 详细部署步骤以phpStudy为例3.1 下载与解压技巧DVWA的GitHub源码有两个下载方式直接下载ZIP包适合网络不稳定时Git克隆方便后续更新我建议用第一种方式但解压时要注意必须解压到phpStudy的www目录。有学员把文件夹放在桌面结果死活访问不了。Windows默认路径通常是C:\phpStudy\PHPTutorial\WWW\解压后记得重命名文件夹为dvwa太长路径名可能导致配置文件加载失败。3.2 关键配置文件修改进入config目录把config.inc.php.dist复制一份并重命名为config.inc.php。用记事本打开后重点关注这几个参数$_DVWA[db_server] 127.0.0.1; // 不要用localhost $_DVWA[db_user] root; // phpStudy默认账号 $_DVWA[db_password] root; // 默认密码 $_DVWA[db_database] dvwa; // 数据库名保持默认特别提醒PHP7环境下需要取消注释这行配置# $_DVWA[recaptcha_public_key] ; # $_DVWA[recaptcha_private_key] ;3.3 数据库初始化在浏览器访问http://localhost/dvwa/setup.php点击Create/Reset Database按钮。这里有个玄学问题如果页面卡住试试把127.0.0.1换成你本机实际IP。成功后会看到绿色提示默认登录账号密码是admin / password强烈建议首次登录后立即修改密码4. 常见问题排查指南4.1 连接数据库失败如果看到Could not connect to the database错误按这个顺序检查MySQL服务是否启动phpStudy显示绿灯配置文件中的密码是否与MySQL一致防火墙是否放行3306端口4.2 页面显示乱码这是因为PHP默认字符集设置问题。在phpStudy中找到php.ini搜索default_charset改为default_charset utf-84.3 文件上传失败检查两个地方php.ini中的upload_max_filesize建议设为20MDVWA目录的uploads文件夹权限Windows需要给Users组写入权限5. 安全防护建议虽然是本地环境但还是要提醒几个安全注意事项不要用root账号在phpStudy中新建一个专用MySQL账号修改默认路径把dvwa改名为不易猜测的目录名定期备份数据库用phpStudy的MySQL管理器导出SQL文件关闭远程访问在my.ini中添加bind-address127.0.0.1有次我在公司内网测试时忘记改默认密码结果被安全部门扫描出来通报批评。这些教训希望大家引以为戒。6. 进阶玩法推荐等基础环境玩熟后可以尝试这些扩展用Burp Suite抓包分析漏洞利用过程修改源码自己实现防御逻辑搭配Metasploit进行联合渗透测试在虚拟机中搭建模拟真实网络环境最近我在DVWA基础上二次开发加入了JWT令牌破解模块。这种定制化改造对深入理解漏洞原理特别有帮助。
)
