在Windows上用PHPStudy快速搭建DVWA靶场进行Web安全渗透测试

DVWA（Damn Vulnerable Web Application）是一个专为安全学习而设计的、包含多种常见Web漏洞的测试平台。它允许安全研究者和学习者在一个合法、可控的环境中进行渗透测试实践，而无需担心法律风险。

DVWA内置了十个核心的漏洞攻击模块，涵盖Web安全的多个基础与进阶领域：

此外，DVWA最具特色的功能之一是支持手动调整安全级别，这为不同水平的学习者提供了渐进式的挑战。安全级别分为四档：Low（低）、Medium（中）、High（高）和Impossible（不可能）。

• Low级别：代码几乎未做任何安全防护，漏洞利用非常简单，适合理解漏洞原理。
• Medium级别：引入了一些基础的安全措施，但存在缺陷，需要绕过。
• High级别：采用了更严格或更复杂的防护手段，对攻击者的技术要求更高。
• Impossible级别：代表一种“理论上”的安全状态，旨在展示如何通过安全编码彻底修复漏洞。

这种分级机制使得DVWA既能作为新手的入门阶梯，也能成为高手精进技艺的实战沙盒。

在Windows系统上安装DVWA

本教程将以Windows Server 2022为例，演示如何使用PHPStudy集成环境快速搭建DVWA。此方法同样适用于Windows 7/10/11等桌面操作系统。

准备工作

1. PHPStudy：用于提供PHP和MySQL运行环境。访问其官网下载Windows版本。
2. DVWA源码：从GitHub获取最新的DVWA源码压缩包。

步骤一：安装PHPStudy

1. 运行PHPStudy安装程序。在安装路径选择时，请注意虚拟机或服务器通常只有一个系统盘（C盘）。如果默认路径为D盘且不存在，请手动修改为 C:\phpstudy_pro。

2. 等待安装完成。安装结束后，PHPStudy主界面将自动打开。

3. 在主界面的一键启动区域，点击“启动”按钮，以运行Apache和MySQL服务。当两个服务旁的圆点变为绿色，且按钮变为“停止”时，表示服务已成功启动。

步骤二：部署并配置DVWA

1. 将下载的 DVWA-master.zip 解压。为便于访问，建议将解压后的文件夹重命名为 dvwa，然后将其复制到PHPStudy的网站根目录 C:\phpstudy_pro\WWW\ 下。

2. 进入 C:\phpstudy_pro\WWW\dvwa\config 目录，找到 config.inc.php.dist 文件，将其复制一份并重命名为 config.inc.php。

3. 使用文本编辑器（如记事本）打开 config.inc.php 文件，找到数据库连接配置部分。通常，需要将数据库密码修改为PHPStudy中MySQL的默认密码（默认为 root）。如果修改过MySQL密码，此处需填写实际密码。
   关键配置项示例：

   $_DVWA[ 'db_server' ] = '127.0.0.1';
   $_DVWA[ 'db_database' ] = 'dvwa';
   $_DVWA[ 'db_user' ] = 'root';
   $_DVWA[ 'db_password' ] = 'root'; // 修改为你的MySQL密码

步骤三：通过Web界面完成安装

1. 打开浏览器，访问DVWA的安装页面：http://127.0.0.1/dvwa/setup.php。页面将显示环境检查结果。

2. 滚动到页面底部，点击 Create / Reset Database 按钮。系统将自动创建所需的数据库和表结构。

3. 如果一切配置正确，页面将显示“Setup successful!”的成功提示。

4. 点击“Login”链接，跳转到登录页面。使用默认账号（用户名：admin， 密码：password）进行登录。

5. 登录成功后，点击左侧导航栏的 DVWA Security，即可进入安全级别设置页面。在这里，你可以根据你的学习进度，自由切换Low、Medium、High或Impossible等级别，开始你的网络安全实践之旅。

至此，一个完整的DVWA靶场环境已在你的Windows系统上搭建完毕。你可以安全地在此平台上进行SQL注入、XSS、文件上传等各种漏洞的利用与防御实验。如果在搭建过程中遇到问题，或想与其他安全爱好者交流技术，欢迎来云栈社区的相应板块讨论。