kali 搭建双靶场

地球胖头鱼 2020-10-13
Web安全 发布于 2020-10-13 10:58:25 阅读 36 评论 0

kali搭建DVWA靶场和SQL-labs注入环境

前几天发了几篇DVWA环境下的暴力破解,很多人并不会搭建DVWA环境,搭建靶场在windows环境下和linux环境下都可以搭建,windows相当于linux搭建靶场稍微有点困难,因为kali linux自带Apache等服务器环境而windows没有服务器环境。所以我接下来先介绍一下在linux下搭建靶场的方法。

kali linux 的下载

下载地址:

https://www.kali.org/
kali的安装请先自行查阅,后期我会发相应教程

DVWA靶场介绍

DVWA(Damn Vulnerable Web Application)一个用来进行安全脆弱性鉴定的PHP/MySQL Web 应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。
DVWA 一共包含了十个攻击模块,分别是:Brute Force(暴力(破解))、Command Injection(命令行注入)、CSRF(跨站请求伪造)、- File Inclusion(文件包含)、File Upload(文件上传)、Insecure CAPTCHA (不安全的验证码)、SQL Injection(SQL注入)、SQL Injection(Blind)(SQL盲注)、XSS(Reflected)(反射型跨站脚本)、XSS(Stored)(存储型跨站脚本)。包含了 OWASP TOP10 的所有攻击漏洞的练习环境,一站式解决所有 Web 渗透的学习环境。
另外,DVWA 还可以手动调整靶机源码的安全级别,分别为 Low,Medium,High,Impossible,级别越高,安全防护越严格,渗透难度越大。
一般 Low 级别基本没有做防护或者只是最简单的防护,很容易就能够渗透成功;而 Medium 会使用到一些非常粗糙的防护,需要使用者懂得如何去绕过防护措施;High 级别的防护则会大大提高防护级别,一般 High 级别的防护需要经验非常丰富才能成功渗透;
最后 Impossible 基本是不可能渗透成功的,所以 Impossible 的源码一般可以被参考作为生产环境 Web 防护的最佳手段。
总而言之,言而总之这个DVWA靶机还是比较适合刚入门的新手和小白,大佬们还是自动绕道吧。

Sqli-labs注入环境介绍

Sqli-libs是一个非常好的SQL注入学习实战平台,涵盖了报错注入、盲注、Update注入、Insert注入、Heather注入、二阶注入、绕过WAF,比较全面的一个注入平台,适用于练习sql注入,学习之前请先了解sql语句。

DVWA的安装

打开kali系统在命令窗输入下面语句:

git clone https://github.com/ethicalhack3r/DVWA.git

把下载好的DVWA移动到var/www/html目录下,这里会有人问了为什么要移动到这个目录,因为这个目录是Apache的根目录我们接下来访问DVWA靶机的时候要访问这个目录

cp -r DVWA/ /var/www/html

使用ls命令查看DVWN是否复制到/var/www/html目录下。

数据库创建

service  apache2 start      开启apache服务

service   mysql   start     开启mysql数据库服务

netstat -anpt | grep 80     查看80端口开启情况

netstat -anpt | grep 3306   查看3306端口开启情况

创建dvwa数据库

mysql -uroot -p            进入mysql 并输入密码,kali按回车即可

create   database   dvwa;  创建dvwa数据库

show databases;            查看数据库 

注:由于已经创建数据库所以提示错误,未创建将提示成功!

创建用户

创建一个非root用户并赋予root权限。

create user 'dvwa'@'localhost'  identified by 'dvwa'; //在用户表创建dvwa用户     

grant all on  *.* to 'dvwa'@'localhost';    

set password for 'dvwa'@'localohost' = password('123456');  

flush privileges;

quit; //退出mysql

配置DVWA文件

进入/var/www/html/DVWA/config目录

cd /var/www/html/DVWA/config

复制一份配置文件

 cp config.inc.php.dist config.inc.php

修改配置文件(进入vim后按i进入编辑,按esc退出编辑,输入:wq!保存)

vim  config.inc.php

访问kali linux 的web即可通常是kali的ip/DVWA/

输入账号:admin 密码:password,这个都是默认的账号密码,默认账号密码一共有五组,后期可以根据自己需求修改。

Sqli-labs注入环境的搭建

为了省去复制移动的操作我们直接进入/var/www/html目录下直接clone 注入环境

cd /var/www/html
git clone https://github.com/mukkul007/sqli-labs-kali2 sqli-labs

进入配置文件进行配置

cd sqli-labs/sql-connections/

修改配置文件为刚刚创建的数据库用户(如果使用root用户,再web页面创建适合可能会出错,修改一下houst的类型就可以了)

在命令行执行php setup-db.php或者浏览器访问就能自动创建数据库了,比dvwa简单许多!

在命令行执行

在浏览器访问创建

http://127.0.0.1/sqli-labs/

很多刚接触 sqli-labs 的萌新可能根据教程搭好了环境配置也懂弄好了就是找不到从哪里开始,怎么使用。给大家整两张图看看。

点击上图箭头所指的就是可以开始挑战了,下图是挑战目录

到此为止这两个靶场就搭建完毕,可能你们在搭建过程中可能会出现很多意想不到的问题,这个时候请耐心查找每个人遇到的问题都不同,如果需要帮助请在评论区留言。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
地球胖头鱼
未填写
  • 作者发布文章65
  • 作者收获粉丝1
  • 作者收到点赞0
  • 所有文章被收藏了0
  • 博客总访问量排行第7
  • 博客总访问量3495(每日更新)
查看所有博文