前言:由于工作需要,需要搭建一个渗透测试的平台用于WAF产品的测试,今天使用XMAPP及DVWA在linux上搭建了一个用于安全测试的靶机,本日记用于记录操作过程以及遇到的问题。DVWA的介绍可以参考下面的DVWA下载链接。
一、环境
操作系统:CentOS release 6.9 (Final)
XMAPP:xampp-linux-x64-5.6.36-0-installer.run,下载链接:
https://www.apachefriends.org/zh_cn/download.html 或者:
https://sourceforge.net/projects/xampp/ 均可以下载
DVWA:http://www.dvwa.co.uk/
二、安装过程
- 先安装XMAPP,整个安装过程可以参考链接:https://www.apachefriends.org/faq_linux.html ,这里整理如下:
a. 安装:
chmod 755 xampp-linux-x64-5.6.36-0-installer.run
./xampp-linux-x64-5.6.36-0-installer.run
根据提示进行安装即可。
b. 启动服务
该服务默认安装在/opt/lampp目录,在上一步安装过程中会有提示,启动命令:
/opt/lampp/lampp start
[root@ecs-cloudbox-yangqiang-linux01 user]# /opt/lampp/lampp start
Starting XAMPP for Linux 5.6.36-0...
XAMPP: Starting Apache...already running.
XAMPP: Starting MySQL...already running.
XAMPP: Starting ProFTPD...ok.
可以看到相关的提示说明apache/mysql/proftpd服务已经启动。如果有报错,相关的日志保存在/opt/lampp/logs/error-log中可以查询。
注意:如果系统原来运行了apache/mysql/proftpd相关的服务,需要关闭掉,否则服务会启动不成功。
另外,在启动过程中ftp遇到报错如下:
[root@ecs-cloudbox-yangqiang-linux01 user]# /opt/lampp/lampp start
Starting XAMPP for Linux 5.6.36-0...
XAMPP: Starting Apache...ok.
XAMPP: Starting MySQL...ok.
XAMPP: Starting ProFTPD...fail.
Contents of "/opt/lampp/var/proftpd/start.err":
ecs-cloudbox-yangqiang-linux01.novalocal proftpd[5986]: warning: unable to determine IP address of 'ecs-cloudbox-yangqiang-linux01.novalocal'
ecs-cloudbox-yangqiang-linux01.novalocal proftpd[5986]: error: no valid servers configured
ecs-cloudbox-yangqiang-linux01.novalocal proftpd[5986]: Fatal: error processing configuration file '/opt/lampp/etc/proftpd.conf'
解决办法为在/etc/hosts文件中增加本地网卡地址和主机名的映射关系即可。
c. 浏览器登录http://192.168.110.129 ,检查是否可以打开XAMPP的说明页面,如果可以的话就说明服务正常了。
d. 在上面这一步,可能会出现不能打开页面的提示,注意观察报错是来自XAMPP。由于安全性设置,默认只允许本地登录,即http://127.0.0.1, 或者在服务器本地打开,如果要想从外部登录,这时可以修改配置文件:
• 修改安装目录下面的配置文件: etc/extra/httpd-xampp.conf
• 找到如下的部分
Alias /phpmyadmin "/opt/lampp/phpmyadmin/"
<Directory "/opt/lampp/phpmyadmin">
AllowOverride AuthConfig
Require local
• 修改 'Require local' 为 'Require all granted'.
Alias /phpmyadmin "/opt/lampp/phpmyadmin/"
<Directory "/opt/lampp/phpMyAdmin">
AllowOverride AuthConfig
Require all granted
• 重启服务:/opt/lampp/lampp restart
另外,http://192.168.110.129/phpmyadmin/ 通过该地址可以打开管理页面,可以看到数据库相关的信息。
- 安装DVWA软件
a. 将DVWA软件解压:unzip DVWA-master.zip
b. 将解压后的目录移动到/opt/lampp/htdocs目录,如下:
[root@node2 htdocs]# ls
applications.html dashboard favicon.ico index.php
bitnami.css dvwa img webalizer
c. 复制dvwa的配置文件:
cp dvwa/config/config.inc.php.dist dvwa/config/config.inc.php
d. 浏览器输入http://192.168.110.129/dvwa/setup.php ,进行初始配置,该页面会提示几个信息,表示环境没有准备好:
这里是已经配置好了后的显示,如果没有配置好,这里的红框会显示相应的信息,特别注意MySQL password这一项,这里显示是有密码的,但是实际上XMAPP的SQL数据库是没有配置密码,可以在http://192.168.110.129/phpmyadmin/ 页面查看数据库的用户信息。
PHP function allow_url_include: Enabled
修改配置文件:/opt/lampp/etc/php.ini
MySQL部分:/opt/lampp/htdocs/dvwa/config/config.inc.php,将
$_DVWA[ 'db_password' ] = 'p@ssword';
修改为$_DVWA[ 'db_password' ] = '';
reCAPTCHA key: missing,修改:/opt/lampp/htdocs/dvwa/config/config.inc.php中的
$_DVWA[ 'recaptcha_public_key' ] = '';
$_DVWA[ 'recaptcha_private_key' ] = '';
为
$_DVWA[ 'recaptcha_public_key' ] = '6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg';
$_DVWA[ 'recaptcha_private_key' ] = '6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ';
其余的几个不可写文件,通过chmod 777 赋予权限,刷新网页后就不再显示有错误了。
最后点击Create/Reset Database按钮即可初始化完成。
e. 登录:http://192.168.110.129/dvwa/ ,默认用户名为admin,密码为password。