DVWA耙机环境快速搭建
前言:
关键字:DVWA、渗透、耙机、DOCKER\DOCKER-COMPOSE;
话说很久很久之前,博主一直想玩一下渗透的[也就是X客的东西……],但后来博主SSH到服务器多了,感觉X客这个事就没那么神秘了;当然,渗透这个事吧,还是比较好玩的,于是嘛,玩一下也是很值的,于是博主最近嘛,也就在研究这个[主要是工作中得到了一些不错的学习资料]~
话说,要研究这个东西,还真是比较麻烦啊,毕竟你需要一个攻击目标,但你又要遵守一些法律,毕竟你不应该随便在互联网上扫扫扫啊~于是嘛,这不得不自己去搭建一个攻击环境,这也就是那些渗透人中的专业术语"耙机";什么是"耙机"?就是一台充满着安全漏洞的服务器而已~说实话,如果真要自己去依据漏洞的原理,去创建一个存在安全漏洞的服务器,那真不是一件简单的事!但还好,有些一直在安全这条道路上前进的大神或组织,已经为博主这种入门者准备好了入门的环境了~
关于这种耙机环境,原来还是很多的,如果非要说比较知名的,那应该是"DVWA"、"Metasploitable2"、"Metasploitable3"这三个了~本篇要介绍的,是基于"DVWA"的耙机环境搭建["Metasploitable3"要搭起来太麻烦,估计要写死老子],好吧,开始吧~
一、DVWA源码与搭建环境
既然要快速搭建,那当然需要依赖一些工具,DOCKER与DOCKER-COMPOSE是必需的,关于DOCKER环境的搭建,烂大街了,上网搜索吧~另外今天至DOCKER的官网去转了个圈,发现直接提供"DEB"与"RPM"安装包了,下载安装包安装的话,和在WINDOWS上点个EXE安装有区别吗?特别说一下,博主提供的一键部署TAR.GZ包只支持X86/X64架构的CPU,不要在ARM架构下使用[例如树莓派][反正我没测试过ARM架构],下面是一些信息:
-
CPU架构 :X86/AMD64
-
操作系统 :Debian 11
-
DOCKER版本 :随便
-
DOCKER-COMPOSE版本:随便
-
代码测试日期:2022年07月10日
-
DVWA源码:百度下载 -->[ 链接地址 ] [ 提取码:7s4q ] [ 文件名称:DVWA/DVWA.tar.gz ]
二、快速搭建
下面这部分内容假设你已经准备好了DOCKER环境,并从百度网盘中下载了"DVWA.tar.gz":
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
# 上传"DVWA.tar.gz"到任意目录 # 本示例假定为"/opt"目录 即文件路径为"/opt/DVWA.tar.gz" # 进入目录并解压"DVWA.tar.gz" cd /opt tar -zxvf DVWA.tar.gz # 进入目录并部署 # 脚本"ReadMe.sh"是用初始化的 cd /opt/DVWA/ ./ReadMe.sh # 只需要等,服务应该就可以部署成功了! # 这个脚本中的内容只是对第一次运行DVWA时 # 对"要正常使用DVWA的所有功能",作了权限与PHP配置的修正而已 # 本质是通过"docker-compose up -d"来启动的 |
容器启动后,你应该就可以通过对应的IP地址访问DVWA耙机了;注意,这是理想情况,由于DVWA的镜像默认内置了MYSQL服务,而MYSQL服务的初始化较慢,虽然博主已经在初始化脚本中"SLEEP"了20秒去让MYSQL完成初始化,但是,这个时间不一定足够,如果"web-dvwa"容器显示正常,但无法访问,请等待或使用"docker-compose -f /opt/DVWA/docker-compose.yaml restart"重启一下容器服务……
可以正常从浏览器访问后,你就可以使用"admin : password"访问了,访问后需要基于DVWA去初始化一个用于DVWA的数据库,详细见下图:
三、启动、停止、删除
"ReadMe.sh"只是第一次需要运行,写这个主要是博主希望,假如有需要在其它主机上运行行DVWA时/很久以后某个时刻想运行DVWA,那么博主不再需要至DVWA的GITHUB上查看需要修正什么PHP配置而已;另外一个原因时,官方提供的DOCKER镜像中的源码没有更新,写了现在这个,以后要更新官方的源码也比较方便[改一下"ReadMe.sh"]就可以了~
由于本质是使用"docker-compose"命令来启动的[见脚本内容],所以管理这个容器,就按平常的方法就可以了:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
# 启动 cd /opt/DVWA docker-compose up -d # 或 docker-compose start # 重启 cd /opt/DVWA docker-compose restart # 停止 cd /opt/DVWA docker-compose stop # 删除 cd /opt/DVWA docker-compose down |
三、目录结构
不写了,就那几个文件,代码也不多……读者自己看吧……
结语
真短……算了,就这样吧~话说博主为了通这个DVWA,也花了不少时间,是想过写解题博文的,不过网上随便搜个视频来看估计比看博客方便多了,所以算了吧~不过啊,还是老样子啊,国内DVWA的教学视频质量真的差啊~尤其是关于CSRF、XSS这两部分,博主就没有找到有那一个视频说到关键点上,所以这两个博主可能会写一写,还是那句,看心情~
博主,你的命令行好漂亮,能告诉我怎么搞的吗
2022-09-07 下午6:18搜WORDPRESS的语法高亮插件,有很多,我用的是“Crayon Syntax Highlighter”,这个做得不错,但已经很多年没更新了
2022-09-12 下午8:02