首页
/ DVWA项目中的MariaDB认证问题分析与解决方案

DVWA项目中的MariaDB认证问题分析与解决方案

2025-05-21 03:16:54作者:农烁颖Land

问题背景

在使用DVWA(Damn Vulnerable Web Application)项目时,许多用户在配置MariaDB数据库连接时会遇到认证失败的问题。特别是在Kali Linux环境下,当用户尝试通过setup.php页面创建或重置数据库时,系统会抛出"Access denied"错误,提示对'kali'@'localhost'用户的访问被拒绝。

问题分析

这个问题通常由以下几个技术因素导致:

  1. 认证方式不匹配:MariaDB支持多种认证方式,包括密码认证和Unix socket认证。DVWA默认配置使用的是密码认证方式,但如果用户在MariaDB中配置了socket认证,就会导致连接失败。

  2. 密码哈希算法兼容性:MariaDB 10.7版本引入了ed25519密码哈希算法,而PHP的MySQL/MariaDB驱动目前还不支持这种新型哈希算法。

  3. 运行用户权限:当使用socket认证时,MariaDB会检查运行PHP进程的系统用户(通常是www-data)是否在数据库中有对应账号,而不是使用配置文件中指定的用户名。

解决方案

方案一:使用传统密码认证

  1. 首先确保删除现有的用户账号:

    DROP USER 'kali'@'localhost';
    
  2. 创建使用传统密码认证的用户:

    CREATE USER 'kali'@'localhost' IDENTIFIED BY 'kali';
    GRANT ALL PRIVILEGES ON dvwa.* TO 'kali'@'localhost';
    FLUSH PRIVILEGES;
    
  3. 在DVWA的config.inc.php中配置:

    $_DVWA[ 'db_server' ]   = '127.0.0.1';
    $_DVWA[ 'db_database' ] = 'dvwa';
    $_DVWA[ 'db_user' ]     = 'kali';
    $_DVWA[ 'db_password' ] = 'kali';
    

方案二:使用Unix socket认证

  1. 创建与PHP运行用户同名的数据库账号:

    CREATE USER 'www-data'@'localhost' IDENTIFIED VIA unix_socket;
    GRANT ALL PRIVILEGES ON dvwa.* TO 'www-data'@'localhost';
    FLUSH PRIVILEGES;
    
  2. 在DVWA的config.inc.php中配置:

    $_DVWA[ 'db_server' ]   = 'localhost';  // 必须使用localhost才能触发socket连接
    $_DVWA[ 'db_database' ] = 'dvwa';
    $_DVWA[ 'db_user' ]     = 'www-data';
    $_DVWA[ 'db_password' ] = '';  // 留空
    

技术要点

  1. localhost与127.0.0.1的区别:在MySQL/MariaDB连接中,使用"localhost"会尝试通过Unix socket连接,而使用IP地址"127.0.0.1"则会通过TCP/IP连接。

  2. 认证方式选择:Unix socket认证更加安全,因为它不通过网络传输凭证,且依赖于系统用户权限。但密码认证方式更加灵活,适合远程连接场景。

  3. 密码哈希算法:虽然MariaDB 10.7支持ed25519等新型哈希算法,但PHP的MySQL扩展目前仅支持传统的mysql_native_password和caching_sha2_password算法。

最佳实践建议

  1. 对于本地开发环境,推荐使用Unix socket认证方式,安全性更高且配置简单。

  2. 如果必须使用密码认证,建议明确指定使用mysql_native_password算法:

    CREATE USER 'kali'@'localhost' IDENTIFIED WITH mysql_native_password BY 'kali';
    
  3. 在配置完成后,建议通过命令行测试连接:

    mysql -u kali -pkali
    

    注意-p参数后直接接密码,不留空格。

通过以上分析和解决方案,用户应该能够顺利解决DVWA与MariaDB之间的认证问题,为后续的Web安全学习和测试奠定基础。

登录后查看全文
热门项目推荐

项目优选

收起
openHiTLS-examplesopenHiTLS-examples
本仓将为广大高校开发者提供开源实践和创新开发平台,收集和展示openHiTLS示例代码及创新应用,欢迎大家投稿,让全世界看到您的精巧密码实现设计,也让更多人通过您的优秀成果,理解、喜爱上密码技术。
C
47
253
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
347
381
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
871
516
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
179
263
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
131
184
kernelkernel
deepin linux kernel
C
22
5
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
7
0
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
335
1.09 K
harmony-utilsharmony-utils
harmony-utils 一款功能丰富且极易上手的HarmonyOS工具库,借助众多实用工具类,致力于助力开发者迅速构建鸿蒙应用。其封装的工具涵盖了APP、设备、屏幕、授权、通知、线程间通信、弹框、吐司、生物认证、用户首选项、拍照、相册、扫码、文件、日志,异常捕获、字符、字符串、数字、集合、日期、随机、base64、加密、解密、JSON等一系列的功能和操作,能够满足各种不同的开发需求。
ArkTS
31
0
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.08 K
0