网络安全与攻防技术实训教程（第3版）实训 项目10 扫描DVWA服务器

··【项目10】扫描DVWA服务器学习目标：熟练掌握WampServer的安装流程，能够熟练地搭建DVWA服务器。熟悉AWVS漏洞扫描工具的安装过程，并能利用该工具对DVWA服务器执行漏洞扫描。场景描述：在虚拟化环境中设置2个虚拟系统，分别为Win10（1）和Win10（3），确保这些系统可以互相通信，网络拓扑如图10-3所示。图10-3网络拓扑任务1部署DVWA实施过程：（1）为了部署DVWA，我们需要依赖一些应用和组件如httpd、PHP、MySQL和php-mysql等，最简单的方法是安装WampServer。因此我们在Win10（3）中安装WampServer，并确保所有所需的依赖组件都已安装好。在安装过程中，选择“MySQL8.0.21”版本的数据库，如图10-4所示。图10-4安装WampServer请注意：在安装过程中，如果系统提示无法找到“MSVCR110.dll”文件，可以通过安装vcredist_x64程序来解决这个问题。（2）把DVWA文件包放置在C:\wamp64\www目录下，如图10-5所示。图10-5放置DVWA文件包（3）在Win10（3）主机上，通过浏览器访问网址“http://localhost/DVWA/”，系统会提示错误，如图10-6所示。图10-6提示错误（4）根据提示把DVWA/config/文件夹中的“config.inc.php.dist”文件重命名为“config.inc.php”，如图10-7所示。图10-7重命名配置文件（5）再次访问网址“http://localhost/DVWA/”，进入DVWA数据库配置页面，。图10-8数据库连接失败图10-9设置密码为空图10-10设置默认安全级别（7）再次单击“Create/ResetDatabase”按钮，当数据库建立完毕，系统自动重定向至DVWA主页，如图所示10-11所示，DVWA默认的账号为“admin”，对应的密码为“password”。10-11DVWA主页任务2允许所有主机均能访问DVWA服务器实施过程：（1）在Win10（3）主机上，单击系统右下角的WampServer图标，选择Apache选项，然后选择httpd-vhosts.conf选项，打开httpd-vhosts.conf配置文件，如图10-12所示。图10-12打开httpd-vhosts.conf配置文件（2）在httpd-vhosts.conf配置文件中，将“Requirelocal”改为“Requireallgranted”，如图10-13所示。图10-13修改httpd-vhosts.conf文件（3）单击系统右下角的WampServer图标，选择“RestartAllServices”选项，重启所有服务。（4）在Win10（1）主机上，通过浏览器访问网址“/DVWA/”，浏览Win10（3）主机的DVWA主页。任务3安装AWVS漏洞扫描工具并扫描DVWA服务器实施过程：（1）在Win10（1）主机上，安装AWVS漏洞扫描工具，确保端口配置为默认的3443。安装过程中，输入用于登录的邮箱账号和密码，如图10-14所示。图10-14登录的邮箱账号和密码（2）安装过程中系统会提示进行证书安装，此时需要单击“是”按钮，完成证书的安装，如图10-15所示。图10-15安装证书（3）打开AWVS安装包中，运行破解程序后，系统会显现出破解成功的界面，如图10-16所示。图10-16破解成功（4）在Win10（1）主机上，通过浏览器访问网址“https://localhost:3443”，进入AWVS登录界面，在此页面需输入安装时注册的邮箱账号和密码，单击“登录”按钮，便能成功进入AWVS，如图10-17所示。图10-17AWVS登录界面（5）单击“添加目标”选项卡，并在地址栏中输入需要扫描的网址“/dvwa/vulnerabilities/”，为了加快扫描过程，在这里我们仅对DVWA中包含漏洞页面的目录进行扫描，然后单击“保存”按钮，如图10-18所示。图10-18添加目标（6）在新建的目标中，打开“网站登录”开关，然后输入DVWA登录的URL、账号和密码等信息，如图10-19所示。图10-19网站登录信息（7）客户端代理选择“GoogleChrome”，由于dvwa/vulnerabilities/csrf页面具有修改当前用户密码的功能，为了避免在扫描过程中更改用户的密码，需要在排除路径中加入“/csrf/”，确保扫描过程中