【靶场部署】保姆级指南——DVWA靶场本地化部署与实战环境配置

1. DVWA靶场简介与核心价值

DVWA（Damn Vulnerable Web Application）是我见过最适合新手入门的Web安全实战平台。这个用PHP/MySQL开发的"故意留漏洞"的靶场，包含了渗透测试中最常见的十大漏洞类型。第一次接触它是在2015年，当时为了准备CISP认证考试，这个靶场帮我搞定了80%的实操考点。

最让我惊喜的是它的模块化设计——每个漏洞场景都有低、中、高三种安全等级。比如在SQL注入模块，低等级就是完全不设防的基础漏洞，中等级会加入基础过滤，高等级则采用预编译语句。这种阶梯式设计特别适合观察防御机制如何逐步生效，比直接看理论文档直观十倍。

靶场内置的十大漏洞模块基本覆盖了OWASP TOP10：

• 暴力破解：体验密码爆破的完整流程
• 命令注入：理解系统命令执行的危害
• 文件包含：本地/远程包含漏洞的经典案例
• 文件上传：绕过上传限制的N种姿势
• SQL注入：包括普通注入和盲注两种场景
• XSS攻击：反射型与存储型的完整对比

2. 环境准备：三套方案任你选

2.1 方案一：phpStudy（Windows首选）

新手我强烈推荐phpStudy，这个集成环境把Apache、MySQL、PHP全都打包好了。最新版v8.1实测兼容PHP5.4-7.4多个版本，正好匹配DVWA要求。

安装时有个坑要注意：必须勾选"安装VC运行库"。我有次没勾选，启动时直接报错0xc000007b，重装三次才发现问题。安装完成后，记得在"设置"里切换PHP版本到5.4-7.4之间的版本（DVWA在PHP8会报错）。

2.2 方案二：XAMPP（跨平台方案）

Mac用户可以用XAMPP，操作逻辑和phpStudy类似。但要注意Mac系统默认占用80端口，需要先执行这条命令释放端口：

sudo apachectl stop

启动XAMPP后，建议修改MySQL默认密码。有次我用默认空密码，第二天就发现被人植入了挖矿脚本...

2.3 方案三：Docker（极简方案）

如果你已经装了Docker，下面这两条命令就能搞定环境：

docker pull vulnerables/web-dvwa docker run -d -p 80:80 vulnerables/web-dvwa

这种方案最干净，测试完直接docker rm删除容器就行。不过对新手来说，可能不如图形化工具直观。

3. 详细部署步骤（以phpStudy为例）

3.1 下载与解压技巧

DVWA的GitHub源码有两个下载方式：

1. 直接下载ZIP包（适合网络不稳定时）
2. Git克隆（方便后续更新）

我建议用第一种方式，但解压时要注意：必须解压到phpStudy的www目录。有学员把文件夹放在桌面，结果死活访问不了。Windows默认路径通常是：

C:\phpStudy\PHPTutorial\WWW\

解压后记得重命名文件夹为dvwa，太长路径名可能导致配置文件加载失败。

3.2 关键配置文件修改

进入config目录，把config.inc.php.dist复制一份并重命名为config.inc.php。用记事本打开后，重点关注这几个参数：

$_DVWA['db_server'] = '127.0.0.1'; // 不要用localhost $_DVWA['db_user'] = 'root'; // phpStudy默认账号 $_DVWA['db_password'] = 'root'; // 默认密码 $_DVWA['db_database'] = 'dvwa'; // 数据库名保持默认

特别提醒：PHP7+环境下需要取消注释这行配置：

# $_DVWA['recaptcha_public_key'] = ''; # $_DVWA['recaptcha_private_key'] = '';

3.3 数据库初始化

在浏览器访问http://localhost/dvwa/setup.php，点击"Create/Reset Database"按钮。这里有个玄学问题：如果页面卡住，试试把127.0.0.1换成你本机实际IP。

成功后会看到绿色提示，默认登录账号密码是：

admin / password

强烈建议首次登录后立即修改密码！

4. 常见问题排查指南

4.1 连接数据库失败

如果看到"Could not connect to the database"错误，按这个顺序检查：

1. MySQL服务是否启动（phpStudy显示绿灯）
2. 配置文件中的密码是否与MySQL一致
3. 防火墙是否放行3306端口

4.2 页面显示乱码

这是因为PHP默认字符集设置问题。在phpStudy中找到php.ini，搜索default_charset改为：

default_charset = "utf-8"

4.3 文件上传失败

检查两个地方：

1. php.ini中的upload_max_filesize（建议设为20M）
2. DVWA目录的uploads文件夹权限（Windows需要给Users组写入权限）

5. 安全防护建议

虽然是本地环境，但还是要提醒几个安全注意事项：

1. 不要用root账号：在phpStudy中新建一个专用MySQL账号
2. 修改默认路径：把dvwa改名为不易猜测的目录名
3. 定期备份数据库：用phpStudy的"MySQL管理器"导出SQL文件
4. 关闭远程访问：在my.ini中添加bind-address=127.0.0.1

有次我在公司内网测试时，忘记改默认密码，结果被安全部门扫描出来通报批评。这些教训希望大家引以为戒。

6. 进阶玩法推荐

等基础环境玩熟后，可以尝试这些扩展：

• 用Burp Suite抓包分析漏洞利用过程
• 修改源码自己实现防御逻辑
• 搭配Metasploit进行联合渗透测试
• 在虚拟机中搭建，模拟真实网络环境

最近我在DVWA基础上二次开发，加入了JWT令牌破解模块。这种定制化改造对深入理解漏洞原理特别有帮助。