Day002:破冰 - 启动你的第一个靶场

发表于 更新于 分类于

Day002:破冰 - 启动你的第一个靶场

📋 基本信息

项目 内容
所属阶段 🔨 筑基(第一阶段)
所属周次 Week 1:破冰——你的第一次”黑客行动”
今日主题 用 Docker 启动 DVWA 靶场
预计时间 1.5-2 小时
难度等级 ⭐ 入门

🔥 今日痛点场景

场景:你听说过”靶场”这个词,知道黑客们都在上面练习。但你不知道靶场是什么,更不知道怎么搭建一个。

问题:去哪里找一个”合法可以随便攻击”的网站?

今天的任务:用 Docker 一键启动 DVWA——一个故意留了一堆漏洞的 Web 应用,专门给你练手。

🎯 今日目标

完成今天的学习后,你应该能够:

  • 在 Kali 中安装并使用 Docker
  • 一键启动 DVWA 靶场
  • 用浏览器访问 DVWA 并完成初始化
  • 理解什么是”靶场”以及为什么需要它

闯关条件:浏览器能打开 http://127.0.0.1/login.php,看到 DVWA 登录页面。

⚔️ 实战任务(先动手!)

💡 原则:先做再说,遇到问题再查资料。

任务 1:安装 Docker(15 分钟)

什么是 Docker:把它想象成一个”应用商店”,你可以一键下载并运行别人打包好的应用,不用自己从头安装配置。

操作步骤

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
# 在 Kali 终端中执行

# 1. 更新软件包列表
sudo apt update

# 2. 安装 Docker
sudo apt install -y docker.io

# 3. 启动 Docker 服务
sudo systemctl start docker

# 4. 设置开机自启
sudo systemctl enable docker

# 5. 验证安装成功
sudo docker --version

预期结果

1
Docker version 24.x.x, build xxxxxxx

任务 2:下载并启动 DVWA(10 分钟)

操作步骤

1
2
3
4
5
6
7
8
9
10
# 一键下载并启动 DVWA
sudo docker run -d -p 80:80 vulnerables/web-dvwa
# 尝试用不用镜像
sudo docker pull docker.1panel.live/vulnerables/web-dvwa


# 参数解释:
# -d        后台运行
# -p 80:80  把容器的 80 端口映射到本机 80 端口
# vulnerables/web-dvwa  官方提供的 DVWA 镜像

预期结果:看到容器 ID 输出,表示启动成功。

验证容器运行

1
sudo docker ps

任务 3:访问 DVWA 并初始化(15 分钟)

操作步骤

  1. 打开 Kali 自带的 Firefox 浏览器
  2. 访问 http://127.0.0.1
  3. 点击 Create / Reset Database
  4. 等待初始化完成,跳转到登录页
  5. 使用默认凭据登录:用户名 admin,密码 password
  6. 进入 DVWA Security,把安全级别设为 Low

预期结果:成功登录 DVWA,看到主菜单页面。

任务 4:探索 DVWA 菜单(20 分钟)

菜单项 漏洞类型 说明
Brute Force 暴力破解 猜密码
Command Injection 命令注入 执行系统命令
File Upload 文件上传 上传木马
SQL Injection SQL 注入 偷数据库
XSS (Reflected) 反射型 XSS 弹窗攻击
XSS (Stored) 存储型 XSS 持久弹窗

任务:点击每个菜单,先混个脸熟。

✅ 今日闯关检查

检查项 状态
Docker 安装成功
DVWA 容器正在运行
浏览器能打开 DVWA 登录页
成功用 admin/password 登录
安全级别已设为 Low

全部打勾 = Day 2 通关!

📖 底层补课(做完实验再看)

什么是靶场?

类比:靶场就像驾校的练车场,你可以在里面随便撞,不会出人命。

什么是 Docker?

类比:Docker 就像”外卖”,你不用自己做饭,直接下单就能吃到做好的应用。

什么是 DVWA?

全称:Damn Vulnerable Web Application(该死的脆弱 Web 应用)

  • 故意包含 OWASP Top 10 漏洞
  • 可调节难度(Low / Medium / High)

⚠️ 避坑指南

坑点 症状 解决方案
Docker 需要 sudo permission denied 命令前加 sudo
端口被占用 port already allocated sudo docker stop $(docker ps -q)
页面打不开 连接被拒绝 检查容器是否运行 docker ps

💡 知识卡片速查

Docker 常用命令

命令 作用
docker run -d -p 80:80 xxx 启动容器
docker ps 查看运行中的容器
docker stop <ID> 停止容器

DVWA 默认凭据

用户名 密码
admin password

❓ 常见问题

Q1:DVWA 和真实网站有什么区别?
A1:DVWA 是故意留洞的,真实网站会修补漏洞。

Q2:为什么要设成 Low?
A2:Low 级别没有防护,最适合新手入门。

🚀 明日预告

Day 003:Burp Suite 抓包初体验

明天你将:

  • 安装并配置 Burp Suite 代理
  • 拦截 DVWA 的登录请求
  • 亲眼看到密码在 HTTP 请求里”裸奔”

📊 学习记录(学习者填写)

项目 内容
实际学习日期 2026.1.30
实际用时 2小时
遇到的问题 网络问题,IP地址设置问题,docker源
今日收获

💬 导师点评

靶场搭好了,子弹上膛了。从明天开始,你将真正开始”攻击”。

1
echo "Day 002 Complete! DVWA 靶场已就绪!"