网络安全靶场搭建与练习 附攻略和在线版

安装过程中需要将config目录下的config.inc.php.dist文件名称修改为config.inc.php，同时配置好里面的数据库

$_DVWA[ 'db_server' ]   = '127.0.0.1';
$_DVWA[ 'db_database' ] = 'dvwa';#数据库名称
$_DVWA[ 'db_user' ]     = 'dvwa';#数据库用户名
$_DVWA[ 'db_password' ] = 'p@ssw0rd';#数据库密码
$_DVWA[ 'db_port'] = '3306';

除此之外，还需要配置好recaptcha密钥接口（里面有一个实验就是针对Google验证码的），这里考虑到很多人都不会注册Google账户，便提供一个自己创建好的。

当然你也可以自己去申请，申请地址https://www.google.com/recaptcha/admin

$_DVWA[ 'recaptcha_public_key' ]  = '6LcWNpMaAAAAAJqJcQ7Eea_y_Hh4DpoM-ieBw8ED';
$_DVWA[ 'recaptcha_private_key' ] = '6LcWNpMaAAAAAAwdvSB8szoR-oNW-ZBnpZVFUIlV';

数据库都配置好了之后，需要修改你的php.ini配置文件

如果是宝塔面板的话，你可以直接在软件商店>运行环境>php-7.4管理>配置文件里搜索allow_url，然后将Off修改为On

allow_url_include = On

以上操作都完成后，便可进入页面进行安装了

安装完成后默认账户为admin密码为password

视频讲解

【免费视频课程】国庆假期58节课搞定Web常见漏洞

6个月前

58810833

学习笔记

靶场攻略之前写过很多了，这里简单做个汇总，欢迎补充！

【DVWA全攻略】Command Injection实验

6个月前

58810833

使用ffuf对DVWA整个目录进行扫描

6个月前

58810833

【DVWA全攻略】DVWA CSRF 实验

6个月前

58810833

【DVWA全攻略】DVWA File Inclusion实验

6个月前

58810833

【DVWA全攻略】DVWA File Upload实验

6个月前

58810833

【DVWA全攻略】使用SQLMAP完成DVWA SQL Injection实验

6个月前

58810833

【DVWA全攻略】DVWA SQL Injection实验 手工注入

6个月前

58810833

这里也提供一下来自互联网的内容，如果有需要欢迎参考

https://www.freebuf.com/articles/web/260074.html

在线版来自第三方，随时可能失效

在inc目录下修改config.inc.php

//定义数据库连接参数
define('DBHOST', '127.0.0.1');//将localhost或者127.0.0.1修改为数据库服务器的地址
define('DBUSER', 'root');//将root修改为连接mysql的用户名
define('DBPW', '');//将root修改为连接mysql的密码，如果改了还是连接不上，请先手动连接下你的数据库，确保数据库服务没问题在说！
define('DBNAME', 'pikachu');//自定义，建议不修改
define('DBPORT', '3306');//将3306修改为mysql的连接端口，默认tcp3306

除此之外还需要修改pkxss/inc目录下的config.inc.php

//定义数据库连接参数
define('DBHOST', 'localhost');//将localhost修改为数据库服务器的地址
define('DBUSER', 'root');//将root修改为连接mysql的用户名
define('DBPW', 'root');//将root修改为连接mysql的密码
define('DBNAME', 'pkxss');//自定义，建议不修改
define('DBPORT', '3306');//将3306修改为mysql的连接端口，默认tcp3306

修改完成后，分别进行安装

入口分别为

• install.php
• pkxss/pkxss_install.php

之前只针对其中一部分做过攻略

使用BurpSuite完成Pikachu暴力破解

6个月前

58810833

这里也提供一些来自互联网的内容，如果有需要欢迎参考

Pikachu靶场通关

https://c1everf0x.top/2020/09/18/pikachu%E9%9D%B6%E5%9C%BA%E9%80%9A%E5%85%B3/

https://jwt1399.top/posts/30313.html#toc-heading-51

在线版

在线版来自第三方，随时可能失效

http://47.108.106.34/pikachu/

http://pikachu.njhack.xyz/

获取更多同款靶场

使用Fofa获取其他在线靶场方式

https://fofa.so/result?qbase64=ZmlkPSJaa1NvcXRzdmY5ZmNwR25lUlVQSjJ3PT0i

fid="ZkSoqtsvf9fcpGneRUPJ2w=="

大概可以搜索到70多条

配置bWAPP/admin目录下的settings.php

$db_server = "localhost";
$db_username = "root";#数据库用户名（这里要用root账户创建）
$db_password = "password";#数据库密码
$db_name = "bWAPP";#数据库名称

安装页面

入口：bWAPP/install.php

然后点击here进行安装即可，安装完成后你可以自行注册账户

入口：bWAPP/user_new.php

不勾选E-mail activation（因为我们刚才没有配置邮件发送的功能）

参考互联网内容

bwapp通关（全完结）

https://blog.csdn.net/hxhxhxhxx/article/details/108896596

上传完即可使用，无需配置数据库

参考互联网内容

Upload-labs 1-21关 靶场通关攻略(全网最全最完整)

https://blog.csdn.net/weixin_47598409/article/details/115050869

upload-labs通关

https://www.freebuf.com/articles/web/267810.html

在线版

在线版来自第三方，随时可能失效

http://45.32.54.250/

http://1.117.221.87/

获取更多同款靶场

使用Fofa获取更多靶场

https://fofa.so/result?qbase64=ZmlkPSJMTXJwczdtdlZrL2ZaYnRXeW83ekxBPT0i

fid="LMrps7mvVk/fZbtWyo7zLA=="

大概有20多条吧

直接将文件上传网站即可使用，无需安装数据库

参考互联网内容

XSS靶场通关

http://zhuabapa.top/2019/12/10/XSS%E9%9D%B6%E5%9C%BA%E9%80%9A%E5%85%B3/

xss靶场之xss-labs

https://www.cnblogs.com/xiaomeng2333/p/11595786.html

XSS靶场漏洞实践及总结

https://www.jianshu.com/p/04c7b344ff35

在线版

http://107.172.196.159/xss/