本文讲述如何利用phpStudy配合DVWA搭建漏洞测试环境

phpStudy简介

phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer，一次性安装，无须配置即可使用，是非常方便、好用的PHP调试环境。该程序不仅包括PHP调试环境，还包括了开发工具、开发手册等。其中，8.1.0.6版本的主界面如下：

DVWA简介

DVWA（Damn Vulnerable Web App）是一个基于PHP/MySql搭建的Web应用程序，旨在为安全专业人员测试自己的专业技能和工具提供合法的 环境，帮助Web开发者更好的理解Web应用安全防范的过程。DVWA一共包含Bruce Force、Command Injection、CSRF等安全测试模块。官方下载地址：http://www.dvwa.co.uk/。其主界面如图：

phpStudy下载安装

下载地址https://www.xp.cn/。

下载Windows版本phpStudy工具，解压并运行phpstudy_x64_8.1.0.6.exe可执行文件。安装完毕之后，会在磁盘上创建phpstudy_pro文件目录：

运行phpstudy_pro启动文件，即可运行phpStudy，通过打开各种套件，即可模拟各类环境。比如开启Apache、MySQL套件，即可模拟Apache和MySQL环境。

在数据库导航栏中，记录了数据库的参数信息。

通过url访问：http://localhost:0/，出现如下界面

访问url中端口为0，是因为phpStudy系统设置中端口默认为0。

DVWA下载与安装

下载地址：http://www.dvwa.co.uk/

github项目：https://github.com/ethicalhack3r/DVWA

下载后从压缩包DVWA-mater.zip解压出的文件夹名字是DVWA-master，为了方便url输入访问，可以把此名字修改为dvwa，然后把它存放到phpStudy的网站目录之下：

通过url链接 http://localhost:0/dvwa/ 测试访问dvwa站点，发现系统出现异常提示信息“DVWA System error - config file not found. Copy config/config.inc.php.dist to config/config.inc.php and configure to your environment.”

修改：把config.inc.php.dist文件的后缀.dist去掉，就变成config.inc.php文件。再次访问： http://localhost:0/dvwa/，

这里记录了初始的DVWA登录用户名和密码：admin/password。点击：Create/Reset Database，出现如下错误：

分析：是MySQL服务器连接不上。检查config.inc.php配置文件配置是否正确。

配置文件config.inc.php中MySQL的用户名和密码都需要与上述安装phpStudy时所设置的Mysql账户密码不一致。这里修改config.inc.php配置文件中MySQL用户名和密码都为root，具体根据每个人不同设置的情况进行修改。

保存修改之后，再次刷新点击Create/Reset Database，出现如下界面：

系统提示users表和guestbook表已经创建ok，数据导入ok，即DVWA环境安装成功。然后会自动跳转到DVWA的登录界面：

访问DVWA

此时，需要从安装DVWA的页面上所提示的账户密码（admin // password）用来登录DVWA。登录成功界面：

左侧导航栏上：Brute Force ~ JavaScript 列出了测试用的Web安全漏洞类型。通过DVWA Security按钮可设置（Impossible、High、Medium、Low）漏洞安全等级进行测试。