Web漏洞靶场搭建

原创 已于 2023-08-24 12:32:00 修改 · 656 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #网络安全 #docker #linux

于 2023-08-15 05:16:58 首次发布

前言

OWASP,全称是:Open Web Application Security Project,翻译为中文就是:开放式Web应用程序安全项目,是一个非营利组织,不附属于任何企业或财团,这也是该组织可以不受商业控制地进行安全开发及安全普及的重要原因。

OWASP TOP 10,这是每年的一份关于web应用的十大威胁安全报告,会在经过安全专家的测验之后确定十大类对当前web应用威胁最大和被应用最广的漏洞,同时也会对其进行详细的分析威胁所在。

Vulhub是一个基于dockerdocker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。

vulhub靶场搭建过程

首先下载Vmware
然后在虚拟机上搭建linux系统的kail虚拟机
接下来在虚拟机上下载docker容器,(docker是一个用Go语言实现的开源项目,可以让我们方便的创建和使用容器)
最后拉入本地vulhub镜像
只需要简单的四步就可一搭建好vulhub镜像环境,从而来复现web漏洞,具体过程如下

一.下载vmware

在官网(https://www.vmware.com/cn.html)下载Vmware,试用即可

二.在Vmware上搭建linux系统的kail虚拟机

进入kail官网:https://www.kali.org/

然后在Vmware上导入下载好的映像文件,下一步

 

选择你刚下好的映像文件 

设置名称和位置

磁盘大小默认20个G既可

 

 

完成后开启新建的虚拟机 

 语言选择,看自己喜好

 设置主机名称

 域名为空

 设置用户名和密码,这里不在展示

 

 这里要选择是

 这样太kail虚拟机就安装好了,很简单吧

三.在虚拟机上下载docker容器(docker是一个用Go语言实现的开源项目,可以让我们方便的创建和使用容器)

在kail命令行用下面两个命令中的一个安装docker
apt-get install docker docker-compose
 或者
apt-get install docker.io

先用sudo su切换到root账户下,执行上面个两个命令中的一个安装docker

验证docker是否安装成功

docker -v #检验当前docker版本

四.拉入vulhub镜像

前往:https://vulhub.org/

执行下载既可 

五.docker常用命令

# 启动docker
service docker start
# 关机docker
service docker stop
# 重启docker
service docker restart
# 镜像列表
docker images
# 检索镜像, 从镜像仓库中检索
docker search xxx
# 下载镜像
docker pull xxx
# 删除镜像
docker rmi xxx
# 镜像列表
docker images
# 检索镜像, 从镜像仓库中检索
docker search xxx
# 下载镜像
docker pull xxx
# 删除镜像
docker rmi xxx

只需要简单的四步就可一搭建好vulhub镜像环境,从而来复现web漏洞

六.附录

github代码仓库连接::github:https://github.com/MD-SEC/

微信公众号:猫蛋儿安全

webbug靶场-渗透基础
qq_43400414的博客
03-26 2109
title: ‘’‘webbug靶场-渗透基础’’’ date: 2019-03-17 12:52:20 tags: 靶场,代码审计 webug靶场 ###废话 在看群文件里面的如何搞代码审计的ppt时发现了一个叫AWVS的工具,感觉很diao,于是就去搜索看看到底是什么玩意 emmmmm,不好意思,打错了,是AWVS。 打开第一个链接,看见了这个玩意 卧槽,居然可以变成合格的新手,赶紧下...
记第一次学习搭建web渗透靶场(vulhub)
His_98的博客
11-20 3732
Vulhub搭建,小白学习路程
webug3.0渗透测试靶场
05-07
webug3.0渗透测试靶场!从官方虚拟机中提取出来的!代码优化,去除重复的文件!内附安装介绍及搭建工具!
web靶场搭建
2301_76329510的博客
03-28 1183
安全靶场,即模拟的、用于练习的、已发现、漏洞的攻击对象。未经他人允许,对别人计算机攻击,容易进局子喝茶,前提是被发现。
Webug靶场搭建详解
永远是少年
12-16 3215
今天继续给大家介绍渗透测试相关知识,本文主要内容是Webug靶场搭建详解。 一、Webug靶场简介 二、Webug靶场搭建
Web漏洞靶场搭建(OWASP Benchmark)
ViVicky_的博客
09-01 391
漏洞靶场,不仅可以帮助我们锻炼渗透测试能力、可以帮助我们分析漏洞形成机理、更可以学习如何修复提高代码能力,同时也可以帮助我们检测各种各样漏洞扫描器的效果。
Web漏洞vulhub靶场搭建
weixin_52989604的博客
08-15 546
OWASP,全称是:Open Web Application Security Project,翻译为中文就是:开放式Web应用程序安全项目,是一个非营利组织,不附属于任何企业或财团,这也是该组织可以不受商业控制地进行安全开发及安全普及的重要原因。OWASP TOP 10,这是每年的一份关于web应用的十大威胁安全报告,会在经过安全专家的测验之后确定十大类对当前web应用威胁最大和被应用最广的漏洞,同时也会对其进行详细的分析威胁所在。Vulhub是一个基于docker和。
精选资源
Java编写的Web漏洞靶场.zip
01-14
靶场搭建还促进了团队协作与沟通。在攻防对抗中,往往需要多人协同作战,团队成员之间需要密切配合,共同制定攻击和防御策略。这有助于培养团队合作意识,提高协同作战的效率。 此外,靶场为学习者提供了一个安全...
Web漏洞靶场sqli-labs搭建
RestoreJustice的博客
03-16 225
如果报错原因可能是sqli-labs数据库连接文件没有设置密码,给文件位置:phpstudy安装目录下www\sqli-labs\sql-connections\ 下db-creds.inc文件。参考:https://blog.youkuaiyun.com/RestoreJustice/article/details/129579312。下载链接:https://www.php.cn/xiazai/gongju/1351,下载后安装。安装完成后报错,需要下载微软插件,点击“确认”下载安装包,解压,安装……
Web漏洞渗透测试靶场(请勿在生产环境搭建)
06-28
【作品名称】:Web漏洞渗透测试靶场 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】: Web漏洞渗透测试靶场 安装方法...
教你从零搭建Web漏洞靶场OWASP Benchmark
华为云官方博客
02-09 4393
摘要:Owasp benchmark 旨在评估安全测试工具的能力(准确率、覆盖度、扫描速度等等),量化安全测试工具的扫描能力,从而更好得比较各个安全工具优缺点。
Webug4.0靶场搭建
BGiscool的博客
10-28 3292
Webug4.0靶场
Webug4.0靶场通关笔记-靶场搭建方法(3种方法)
mooyuan的网络安全博客
05-10 2351
Webug4.0 是国内安全团队开发的一款专注于Web应用安全的渗透测试实战平台(靶场),适合网络安全学习者从入门到进阶的实战训练,本文讲解3种搭建webug4.0靶场的方法。
web靶场搭建_webbug靶场搭建(1),2024年最新面试建议
weixin_57485542的博客
04-15 1194
修改配置文件phpstudy_pro\Extensions\php\php7.3.4nts\php.ini(与使用的php版本)下载地址:https://github.com/zhuifengshaonianhanlu/pikachu。这个靶场直接解压到WWW文件夹下即可,不过遇到个问题,一个是16 关无法访问,一个是docker安装。将文件解压到/WWW/目录下即可,重启服务器,访问127.0.0.1/upload-labs。此处访问有错误,需要修改php版本指5.3.29,然后初始化。
搭建webug漏洞靶场
yzl_007的博客
09-15 1105
搭建webug漏洞靶场 下载还phpstudy后,进入到www目录下 将下载好的webug4.0的压缩包解压 然后启动phpstudy 本地访问漏洞地址,默认密码admin/admin登陆 点击登陆后并没有跳转到对应页面,在网上GitHub找的一个版本有bug, 登陆后无法跳转到对应页面,不知道为什么。 官方的文档如下,是在虚拟机下的,下载太慢了这里我不试了。。。 https://pan.baidu.com/s/1fVTQY2wuNCRTQu5-BnelEA 提取码:lmzc ...
Web渗透漏洞靶场收集
wangluoanquan111的博客
10-09 570
如果你想搞懂一个漏洞,比较好的方法是:你可以自己先用代码编写出这个漏洞,然后再利用它,最后再修复它”。初学的时候玩靶场会很有意思,可以练习各种思路和技巧,用来检测扫描器的效果也是很好的选择。Web安全入门必刷的靶场,包含了最常见的web漏洞,界面简单易用,通过设置不同的难度,可更好地理解漏洞的原理及对应的代码防护。AWVS的测试站点,用于扫描效果验证,提供了多场景的公网靶场,也常作为漏洞利用演示的目标。基于Java编写的漏洞靶场,提供了一个真实的安全教学环境,用于进行WEB漏洞测试和练习。
掌握渗透测试,从Web漏洞靶场搭建开始
华为云官方博客
10-26 2139
摘要:漏洞靶场,不仅可以帮助我们锻炼渗透测试能力、可以帮助我们分析漏洞形成机理、更可以学习如何修复提高代码能力,同时也可以帮助我们检测各种各样漏洞扫描器的效果。
01. Web漏洞靶场搭建
weixin_43909650的博客
12-13 2471
2022网安冬令营(web安全/渗透测试/实战训练)——蚁景网安 https://ke.qq.com/course/5874132#term_id=106089914
WebBug靶场介绍篇 — 01
weixin_30315905的博客
08-04 246
今天是星期天,干点啥,反正一天没事,我也不想继续去搞 msf 的那些什么浏览器提权啊,PDF 提权啊,快捷方式提取啊,或者木马免杀什么的,毕竟现在我也不是为了去找工作而去学那些工具了,,, 说开这个靶场是前天,一个朋友在空间转发的,然后我就去看看吧。 然后,进去后,结果靶场就没搭建好,就玩不了,我就直接右键源代码,翻看起源码来了,然后了,就找见了 github 上的靶场源码,我就下载开了,不过...
web漏洞实战靶场搭建推荐靶场
最新发布
01-01
为你推荐以下可用于web漏洞实战靶场搭建靶场: - **DVWA(Damn Vulnerable Web Application)**:经典的Web安全测试靶场,适合了解常见漏洞和进行简单的漏洞利用。包含多种常见Web漏洞类型,如SQL注入、XSS等,可在不同难度级别下进行实验,帮助理解漏洞原理和利用方法。搭建时,需下载并安装PHPstudy,将解压后的DVMA源代码放置在phpstudy安装目录的WWW文件夹,进入DVWA/config目录,将config.inc.php.dist最后的.dist删去,打开重命名后的config.inc.php文件,修改db_user和db_password为root root,通过浏览器访问http://127.0.0.1/DVWA/setup.php,点击最下方的Create Database,再访问http://127.0.0.1/DVWA/,输入用户名admin,密码password登录dvwa [^4]。 - **OWASP Broken Web Applications Project(OWASP BWA)**:官网下载后为集成虚拟机,使用root owaspbwa登入会返回靶场地址,进而可访问靶场。更贴近实际复杂的业务环境,对想要深入了解Web应用安全在复杂业务下表现的人来说是不错的选择,也涵盖了许多在web1.0时代及之后常见的Web安全问题 [^1]。 - **WebGoat**:交互式Web应用程序,有多个课程和练习用于教授Web应用安全知识,包含RCE等多种漏洞的教学内容。通过完成其中的练习,可逐步掌握漏洞相关的原理和利用技巧,其设计更注重交互性和教学性,可帮助新手理解web1.0时代可能出现的多种Web漏洞 [^2]。 - **SQLI - LABS**:专有靶场,专注于SQL注入漏洞的学习与实践。在web1.0时代,SQL注入是较为常见且危害较大的漏洞,此靶场提供了丰富的场景和不同难度的注入点,适合专门针对SQL注入漏洞进行深入研究和练习 [^2]。 - **Metasploitable**:专门用于安全测试和学习的虚拟机,包含大量已知安全漏洞,包括多种RCE漏洞场景。可利用Metasploit框架对其进行漏洞扫描和利用,模拟真实攻击场景,了解不同系统和服务下在web1.0及后续阶段可能出现的漏洞利用方式 [^2]。 - **pikachu**:一个好玩的Web安全 - 漏洞测试平台,下载地址为https://github.com/zhuifengshaonianhanlu/pikachu ,搭建时需解压文件,修改pikachu\inc\config.inc [^2]。 示例代码(以Python使用`requests`库访问DVWA为例): ```python import requests url = "http://your_dvwa_ip/vulnerabilities/sqli/" # 假设访问SQL注入漏洞页面 response = requests.get(url) print(response.text) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值