第一部分:基础环境构建
1.1构建phpstudy环境
我们要学习渗透测试,首先需要在当地营造环境。 因为擅自渗透别人的网站是违法的哦。 记住!
选择PHPStudy这个软件可以满足我们多种网络环境,而且可以自由地进行版本切换,主要是节约时间。
:说明我们安装的所有软件都没有中文路径。 否则,会出现奇怪且难以排除的问题
如果提示微软库文件部分不足,可以直接安装V11和V14;
您还可以安装库集合--- -建议直接安装Microsoft运行时库集合。
在本地浏览器中打开后,可以访问http://localhost/phpinfo.php。 下图显示环境正常
说明:端口被占用时,在下图的位置修改端口即可。 如果能正常启动就不需要设置。
如果图中的选项没有,则处于选中状态。 表示天空没有打开。
点击下图的“允许列表”,有就正确了。
说明:在这里我们的实验环境为了方便打开,实际场景一般是关闭的,不要让别人随便看到我们的目录结构。
将测试站点的php和l.php打包并放入aaa目录中。 否则无法直接读取根目录下的目录。
1.2构建dvwa环境
说明:下靶机的源代码可以通过百度搜索获得((此处省略) ) )。
所有靶机的源代码必须放在phpstudy网站的根路径下
下载dvwa源代码,解压缩并放置在www目录中。 主文件的名称是dvwa
将配置文件d :phpstudyPHP tutorialwwwdvwaconfigconfig.Inc.PHP中的数据库用户名和密码更改为root
如果dvwa目录的第一个文件名为config.inc.php.dist,则更改为config.inc.php即可。
$_DVWA=array (;
$_DVWA[ 'db_server' ]='127.0.0.1 ';
$_DVWA[ 'db_database' ]='dvwa ';
$_DVWA[ 'db_user' ]='root ';
$_DVWA[ 'db_password' ]='root ';
即使访问localhost/dvwa也会自动跳转; 无法手动输入localhost/dvwa/setup.php
说明:默认远程文件包含关闭状态。
默认用户名密码为:管理员/密码
1.3 Picachu环境构建
靶机说明:是一个包含多种网络漏洞的靶机渗透测试环境,比较完整。
解压缩源代码,将其重命名为pikachu,并将其放在www根目录下
修改mysql连接文件: d :PHP studyPHP tutorialwwwpikachuIncconfig.Inc.PHP
efine(dbhost )、) 127.0.0.1 ); 将localhost或127.0.0.1更改为数据库服务器地址
dfine(dbuser )、(root ); 将根重命名为连接到mysql的用户名
dfine(dbpw )、(root ); 将root更改为连接到mysql的密码,如果更改后仍无法连接,请首先手动连接到数据库,以确保数据库服务正常说话。
dfine(dbname )、) pikachu ); //定制,建议不要修改
dfine(dbport ),) 3306 ); //数据库端口
1.4构建sqli环境
解压缩sqlilab-master,将其重命名为sqli文件夹,并将其放在www(d:(phpstudy ) PHP教程) www根目录下。 请注意目录结构
修改数据库连接配置文件d :phpstudyPHP tutorialwwwsqliSQL-connectionsd B- creds.Inc文件
//giveyourmysqlconnectionusernamenpassword
$dbuser='root '; #连接到数据库的用户名
$dbpass='root '; #连接数据库密码
$dbname='security '; #数据库名称
$host='localhost ';
$dbname1='challenges ';
?
浏览器访问并创建数据库
1.5宝马APP环境构建
靶机说明:对常见的网络漏洞和会话劫持等环境进行仿真。
phpstudy下载网站: windows版phpstudy下载
phpstudy2018
构建过程
(1)将bmapp源代码放置在www目录中
)2)修改WWWbwappbwappadminsettings文件
)3)配置说明
# databaseconnectionsettings :当前连接到数据库的用户名和密码
$db_server='localhost ';
$db_username='root ';
$db_password='错误'; 更改为根
$db_name='bwapp ';
#默认登录帐户和密码
$login='bee ';
$password='错误';
(4)数据库安装