OWASP Mutillidae II是一个免费，开源的Web应用程序，提供专门被允许的安全测试和入侵的Web应用程序。它是由Adrian “Irongeek” Crenshaw和Jeremy “webpwnized” Druin.开发的一款自由和开放源码的Web应用程序。其中包含了丰富的渗透测试项目，如SQL注入、跨站脚本、clickjacking、本地文件包含、远程代码执行等。

mutillidae可以使用LAMP，WAMP和XAMMP在Linux和Windows上安装Mutillidae。它预装在SamuraiWTF和OWASP BWA上。

一、Mutillidae下载

现在版本已经是“OWASP Mutillidae II”了。

二、Mutillidae安装

在安装前，需要做一个准备工作，我们先去做一个PHP+Mysql的环境搭建。

1、下载、安装、启动PhpStudy。

phpStudy是一个PHP调试环境的程序集成包。恰好我们可以用到"PHP+Mysql+Apache"。

2、将下载的mutillidae解压到phpstudy网站根目录下。

例如：我这解压后的路径是“F:\phpStudy\WWW\mutillidae\”。

3、将 database-config.inc 复制一份或重命令为 database-config.php;

例如：我的配置文件路径是“F:\phpStudy\WWW\mutillidae\includes”。

4、修改 database-config.php 里代码如下：

define('DB_HOST', '127.0.0.1');

define('DB_USERNAME', 'root');

define('DB_PASSWORD', 'root');

define('DB_NAME', 'mutillidae');

?>

因为phpstudy默认的mysql数据库地址是“127.0.0.1 或 localhost"，用户名和密码都是"root"。主要是修改’DB_PASSWORD‘为root，这里很重要，修改后自然是需要保存文件的，这个不用说相信大家也能知道。

5、启动phpstudy，打开“http://127.0.0.1/mutillidae/”;

由于是第一次打开，会跳转到“http://127.0.0.1/mutillidae/database-offline.php”;

注意：如果碰上“http://127.0.0.1/mutillidae/”打不开，报500错误(Internal Server Error)，请自动切换版本，例如：我切换到"php-5.5.38+apache"即可正常!

6、设置或重置数据库

7、进入“http://127.0.0.1/mutillidae/”首页，列出所有的漏洞;

8、mutillidae如何选择哪个漏洞进行实验?按照下图直接选择就行了。

例如：我是进入OWAZP 2017 - SQL注入;还有OWASP 2013、2010、2007;

由于打开本身应该是英文的，我用网页翻译了一下，结果成上图的样子，也是为了方便大家看一下支持有哪些漏洞?可以清楚的知道OWASP Mutillidae II漏洞包括：点击劫持、本地文件包含、文件上传、SQL注入、LDAP注入、JavaScript注入、跨站点请求伪造、拒绝服务、用户名枚举等漏洞。

同时，Mutillidae跟DVWA一样，也支持“程序安全等级”切换，不过Mutillidae只有三个等级，分别是0、1、5三个安全等级。

最后一张图已经说明了Mutillidae如何切换安全等级?

原文地址：http://www.ucbug.com/jiaocheng/140727.html