DVWA靶场脚本部署及汉化

一、靶场介绍

DVWA 一共包含了十个攻击模块，分别是：

Brute Force（暴力（破解））
Command Injection（命令行注入）
CSRF（跨站请求伪造）
File Inclusion（文件包含）
File Upload（文件上传）
Insecure CAPTCHA （不安全的验证码）
SQL Injection（SQL注入）
SQL Injection（Blind）（SQL盲注）
XSS（Reflected）（反射型跨站脚本）
XSS（Stored）（存储型跨站脚本）。
包含了 OWASP TOP10 的所有攻击漏洞的练习环境，一站式解决所有 Web 渗透的学习环境。
————————————————

二、环境准备

安装要求

• 操作系统：基于 Debian 的系统（Kali、Ubuntu、Kubuntu、Linux Mint、Zorin OS）
• 特权：以根用户身份执行

三、DVWA脚本部署

1.下载脚本

wget https://raw.githubusercontent.com/IamCarron/DVWA-Script/main/Install-DVWA.sh

2.赋权

chmod +x Install-DVWA.sh

3.执行脚本

sudo ./Install-DVWA.sh

完成安装后即可通过http://192.168.33.163/DVWA/访问（admin/password）

四、汉化（可选）

1.下载中文项目

git clone https://gitcode.com/gh_mirrors/dv/DVWA-Chinese

2.替换配置文件

cp /var/www/html/DVWA/config/config.inc.php /var/www/html/DVWA-Chinese/config/

3.数据库初始化

访问http://192.168.33.163/DVWA-Chinese/setup.php，点击"Create / Reset Database"按钮自动创建数据库结构并导入初始数据。

五、初始化配置中问题

1.reCAPTCHA key: Missing

编辑 dvwa/config/config.inc.php这个配置文件 $_DVWA[ 'recaptcha_public_key' ] = ''; $_DVWA[ 'recaptcha_private_key' ] = ''; 修改为 $_DVWA[ 'recaptcha_public_key' ] = '6LdJJlUUAAAAAH1Q6cTpZRQ2Ah8VpyzhnffD0mBb'; $_DVWA[ 'recaptcha_private_key' ] = '6LdJJlUUAAAAAM2a3HrgzLczqdYp4g05EqDs-W4K';

2.Writable权限修复

# 1. 修复上传目录权限（核心） chown -R www-data:www-data /var/www/html/DVWA-Chinese/hackable/uploads/ chmod -R 775 /var/www/html/DVWA-Chinese/hackable/uploads/ # 2. 修复 PHPIDS 日志文件权限 chown www-data:www-data /var/www/html/DVWA-Chinese/external/phpids/0.6/lib/IDS/tmp/phpids_log.txt chmod 664 /var/www/html/DVWA-Chinese/external/phpids/0.6/lib/IDS/tmp/phpids_log.txt # 3. 修复配置目录权限 chown -R www-data:www-data /var/www/html/DVWA-Chinese/config/ chmod -R 775 /var/www/html/DVWA-Chinese/config/