渗透测试之漏洞靶场环境推荐与部署指南

原创 已于 2025-08-29 16:16:25 修改 · 1.1k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #c语言 #汇编 #linux #网络安全 #系统安全 #web安全

于 2025-08-29 16:08:42 首次发布

丰富的靶场资源,是在渗透测试领域的训练过程中,必不可少的安全工具!

本文章仅提供学习,切勿将其用于不法手段!

在国内可稳定下载部署的漏洞靶场环境众多,以下是精选的8个主流选择及其安装配置方案:

🎯 漏洞环境靶场推荐

1. VulApps - 极速部署的漏洞应用集合

  • 特点​:基于Docker,专为国内优化的漏洞环境
  • 下载地址​:Gitee镜像仓库
  • 包含漏洞​:ThinkPHP RCE、Weblogic反序列化、Struts2等

2. DVWA - Web安全入门必备

  • 特点​:最经典的Web漏洞训练平台
  • 国内源​:阿里云镜像
  • 漏洞类型​:SQL注入、XSS、文件包含等基础漏洞

3. WebGoat - OWASP官方训练平台

  • 特点​:系统化的Web安全学习路径
  • 国内源​:腾讯云镜像
  • 亮点​:分课程教学,包含最新Web漏洞

4. Vulhub - 专业漏洞复现环境

  • 特点​:200+漏洞环境,覆盖各类CVE
  • 国内源​:南京大学镜像
  • 优势​:持续更新最新漏洞环境

5. Metasploitable - 综合渗透测试环境

  • 特点​:刻意设计有漏洞的Linux系统
  • 国内下载​:清华源ISO下载
  • 包含服务​:SSH弱密码、FTP匿名登录、Samba漏洞等

6. OWASP Juice Shop - 现代化Web应用靶场

  • 特点​:单页应用(SPA)漏洞集合
  • 国内源​:阿里云镜像
  • 亮点​:CTF式设计,包含80+挑战任务

7. VulnRange - 企业级攻防演练环境

  • 特点​:多主机网络拓扑场景
  • 国内源​:Gitee仓库
  • 场景​:内网渗透、域渗透、横向移动等

8. DVNA - 现代API安全靶场

  • 特点​:专注于API安全漏洞
  • 国内源​:腾讯云镜像
  • 漏洞类型​:JWT破解、GraphQL注入、OAuth漏洞

🛠️ 通用部署方法(Docker方案)

前置准备

# 1. 安装Docker
curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun

# 2. 配置镜像加速
sudo tee /etc/docker/daemon.json <<-'EOF'
{
  "registry-mirrors": [
    "https://docker.mirrors.ustc.edu.cn",
    "https://hub-mirror.c.163.com",
    "https://mirror.baidubce.com"
  ]
}
EOF

# 3. 重启Docker
sudo systemctl daemon-reload
sudo systemctl restart docker

靶场部署流程(以DVWA为例)

# 1. 拉取镜像
docker pull registry.cn-hangzhou.aliyuncs.com/vulapps/dvwa

# 2. 启动容器
docker run -d --name dvwa \
  -p 8080:80 \
  -e PHP_DATE_TIMEZONE=Asia/Shanghai \
  registry.cn-hangzhou.aliyuncs.com/vulapps/dvwa

# 3. 访问靶场
echo "访问地址: http://localhost:8080"
echo "默认账号: admin/password"

多靶场统一管理(Docker Compose)

# docker-compose.yml
version: '3'
services:
  dvwa:
    image: registry.cn-hangzhou.aliyuncs.com/vulapps/dvwa
    ports:
      - "8080:80"
    environment:
      PHP_DATE_TIMEZONE: Asia/Shanghai
      
  webgoat:
    image: webgoat/webgoat
    ports:
      - "8081:8080"
      
  juice-shop:
    image: registry.cn-hangzhou.aliyuncs.com/owasp/juice-shop
    ports:
      - "3000:3000"

启动命令:

docker-compose up -d

📦 非Docker部署方案

1. Metasploitable虚拟机部署

# 下载镜像
wget https://mirrors.tuna.tsinghua.edu.cn/metasploitable/metasploitable-linux-2.0.0.zip

# 解压并导入虚拟机
unzip metasploitable-linux-2.0.0.zip

# 使用VirtualBox/VMware导入
# 默认账号: msfadmin/msfadmin

2. 手动安装WebGoat

# 下载最新JAR包
wget https://mirror.tencent.com/webgoat/webgoat-server-8.2.2.jar

# 安装Java环境
sudo apt install openjdk-11-jdk -y

# 启动服务
java -jar webgoat-server-8.2.2.jar --server.port=8080

# 访问 http://localhost:8080/WebGoat

⚙️ 靶场配置优化

1. 持久化数据存储

docker run -d -p 8080:80 \
  -v /path/to/dvwa:/var/www/html \
  registry.cn-hangzhou.aliyuncs.com/vulapps/dvwa

2. 资源限制

docker run -d --memory="512m" --cpus="0.5" \
  -p 8080:80 \
  registry.cn-hangzhou.aliyuncs.com/vulapps/dvwa

3. 网络隔离

# 创建专用网络
docker network create vuln-net

# 启动多个互通的靶场
docker run -d --net vuln-net --name dvwa ...
docker run -d --net vuln-net --name webgoat ...

🔍 靶场访问与使用

靶场名称访问地址默认凭证
DVWA:8080admin/password
WebGoat:8081/WebGoat注册任意账号
Juice Shop:3000无需登录
MetasploitableSSH:192.168.x.xmsfadmin/msfadmin
VulnRange按场景不同见各环境说明

📌 维护与管理

常用命令

# 查看运行状态
docker ps -a --format "table {{.ID}}\t{{.Names}}\t{{.Status}}\t{{.Ports}}"

# 停止所有靶场
docker stop $(docker ps -aq)

# 清理资源
docker system prune -a

# 更新靶场
docker-compose pull && docker-compose up -d

备份与恢复

# 备份数据卷
docker run --rm --volumes-from dvwa \
  -v $(pwd):/backup ubuntu tar cvf /backup/dvwa.tar /var/www/html

# 恢复数据
docker run --rm --volumes-from dvwa \
  -v $(pwd):/backup ubuntu bash -c "cd / && tar xvf /backup/dvwa.tar"

💡 最佳实践建议

  1. 隔离环境​:在虚拟机或专用服务器部署,避免影响生产环境
  2. 定期更新​:每月更新一次镜像获取最新漏洞环境
  3. 安全加固​: 
    # 限制访问IP
docker run -p 127.0.0.1:8080:80 ...
  4. 监控资源​:使用cAdvisor监控靶场资源使用情况
  5. 学习路径​: 
    新手:DVWA → WebGoat → Juice Shop
进阶:Vulhub → VulnRange → Metasploitable

🚀 一站式部署脚本

#!/bin/bash
# 靶场一键部署脚本
TARGET=${1:-all}

install_dvwa() {
  docker run -d --name dvwa \
    -p 8080:80 \
    -e PHP_DATE_TIMEZONE=Asia/Shanghai \
    registry.cn-hangzhou.aliyuncs.com/vulapps/dvwa
}

install_webgoat() {
  docker run -d --name webgoat \
    -p 8081:8080 \
    registry.cn-hangzhou.aliyuncs.com/webgoat/webgoat
}

case $TARGET in
  dvwa)
    install_dvwa
    ;;
  webgoat)
    install_webgoat
    ;;
  all)
    install_dvwa
    install_webgoat
    ;;
  *)
    echo "用法: $0 [dvwa|webgoat|all]"
    exit 1
    ;;
esac

echo "安装完成!"
echo "DVWA: http://localhost:8080 (admin/password)"
echo "WebGoat: http://localhost:8081/WebGoat"

保存为install-range.sh后运行:

chmod +x install-range.sh
./install-range.sh all

以上靶场均经过国内网络环境测试,可稳定下载部署。建议初学者从DVWA开始,逐步过渡到更复杂的VulnRange和Metasploitable环境。

(本文所述技术仅限授权环境使用,所有操作需遵守《网络安全法》)

DVWA(Web 渗透的靶机环境)+csrf漏洞练习
net的博客
03-16 1万+
用来进行安全脆弱性鉴定的PHP/MySQL Web 应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。十个攻击模块,分别是:1、Brute Force(暴力(破解))、2、Command Injection(命令行注入)、3、CSRF(跨站请求伪造)、4、- File Inclusion(文件包含)、5、File Upload(文件上传)、6、Insecure CAPTCHA (不安全的验证码)、
DVWA全级别通关教程
热门推荐
weixin_52515588的博客
03-26 10万+
首先选择难度,我们从low开始,如上图所示进行修改 目录 SQL手工注入 过程: low Medium high Impossible SQL 盲注 过程: SQL 工具注入 工具安装过程: 过程: low Medium High: 暴力破解 过程: Low Medium High Impossible 命令注入 过程: Low Medium High: Impossible 文件上传 过程: Low Medium High Im...
2025最新渗透测试靶场推荐,从零基础入门到精通,收藏这一篇就够了!
2401_84618514的博客
11-04 983
本文精选了25个网络安全渗透测试靶场平台,涵盖国际知名平台如Hack The Box、Try Hack Me,国内墨者学院、春秋云镜等实战环境。这些靶场提供多样化漏洞场景,包括XSS小游戏、红日靶场等专项训练平台,适合不同水平的网络安全学习者。通过VMware或Docker等工具可快速搭建漏洞环境,帮助用户从入门到高阶逐步提升渗透测试、CTF竞赛、应急响应等实战能力,是网络安全技能进阶的必备资源集合。
DVWA(靶场搭建)
hp.puppy的博客
03-28 4183
DVWA 的目标是通过简单明了的界面来练习一些最常见的 Web 漏洞,具有不同的难度级别。分别有”低、中、高、不可能“,程序安全级别越低,说明越容易被攻破。 ​十个模块:暴力(破解)、命令行注入、跨站请求伪造、文件包含、文件上传、不安全的验证码、SQL注入、SQL盲注、弱会话ID、XSS漏洞(DOM型跨站脚本、反射型跨站脚本、 存储型跨站脚本)​ 默认用户名:admin,默认密码:password;
渗透测试练习靶场汇总
Thunderclap的博客
07-01 2万+
渗透测试 练习常用靶场汇总
gmailc2:一款基于Google SMTP的完全无法检测的C2服务器
qq_53058639的博客
07-24 1676
1、持久化;2、支持Shell访问;3、查看系统信息;4、…
Pikachu靶场环境安装:基于PHPApache的Web漏洞练习平台部署指南
04-29
使用场景及目标:①为Web渗透测试学习者提供一个真实的漏洞练习平台;②帮助用户熟悉常见的Web安全漏洞及其利用方式;③通过实际操作加深对Web应用安全性问题的理解。 其他说明:Pikachu靶场不仅提供了丰富的漏洞...
内网渗透环境搭建完全指南(含靶场资源 + 分步部署
最新发布
2501_93842368的博客
11-19 1948
内网渗透环境搭建的核心是,包含 “边界设备、内网主机、域环境、核心服务”,同时搭配合法靶场资源,让你从 “单主机渗透” 平滑过渡到 “内网全流程测试”。以下是按 “基础环境→进阶域环境靶场资源→验证测试” 的详细搭建方案,附工具下载、配置步骤和避坑指南
精选资源
vulhub漏洞测试靶场
08-16
在Vulhub中,每个漏洞环境都被封装在单独的Docker容器中,这样可以确保测试环境的隔离性和一致性,同时也简化了环境部署和管理。 5. **学习资源**: "vulhub-master"可能包含了详细的使用指南漏洞描述、PoC...
渗透测试靶场安装攻击机配置
weixin_52180702的博客
07-13 3518
kali 渗透测试靶场安装攻击机配置
常见渗透测试靶场
qfliweimin的博客
05-26 4498
1.DVWA 作为新手,通常第一个听说的靶场应该就是DVWA,部署简单安装完对应版本的PAM(PHP-Apache-MySQL),简单配置后就可以使用。 1、DVWA靶场可测试漏洞:暴力破解(Brute Force)、命令注入(Command Injection)、跨站请求伪造(CSRF)、文件包含(File Inclusion)、文件上传(File Upload)、不安全的验证码(Insecure CAPTCHA)、SQL注入(SQL Injection)、SQL盲注(SQL Injection Bl
漏洞靶场平台搭建漏洞分析文档
04-29
漏洞靶场平台搭建漏洞分析文档,里面包含漏洞靶场网站的搭建、漏洞分析、工具使用、漏洞脚本样例,来源是红日安全,大家一起学习,进步!
Qt下载安装及配置教程(非常详细),从零基础入门到精通,看完这一篇就够了
Innocence_0的博客
08-19 5362
下载开源版往下滑,下载Qt在线安装程序它已经检测出我的是windows系统,直接点击download就好。如果是其它的系统,需要找到对应自己系统的安装包。然后跟网速有关,等一会就会自动下载等待下载完成,双击.exe文件,就可以进行安装。首先就是登录qt账户,如果没有可以自行注册一个。然后选择个人用户,之后点击下一步进行安装。如果没有报错,那继续往下:这一步是问你对qt有什么改善的建议,我这里直接选择没有,然后继续进行下一步。
渗透测试靶场
菜鸟-传奇
10-24 7749
渗透测试靶场 sqli-labs sqli-labs包含了大多数的sql注入类型,以一种闯关模式,对于sql注入进行漏洞利用下载地址:https://github.com/Audi-1/sqli-labs xss challenges xsschallenges是一个专对于XSS漏洞练习的在线靶场,包含了各种绕过,各种姿势的XSS利用下载地址:http://xss-quiz.int21h...
Vulhub漏洞靶场搭建
javagty6778的博客
03-10 2840
Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。旨在让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。物理机:Windows 10虚拟机:Centos 7,网卡设置为NAT模式。
漏洞靶场搭建
nejore的博客
06-08 1067
vulhub基础环境搭建
Web漏洞靶场搭建
m0_56632799的博客
07-19 3612
小白学习网安之Web漏洞靶场
漏洞靶场搭建-Vulfocus
SuperherRo的博客
01-19 4117
Vulfocus 是一个漏洞集成平台,将漏洞环境 docker 镜像,放入即可使用,开箱即用。
详细指南:搭建真实环境渗透测试靶场
文件中的'靶场详细搭建流程.txt'是本资源包的精华部分,它详细介绍了如何一步步搭建渗透测试环境,包括环境配置、工具安装靶场部署等,每个步骤都有详尽的说明,即使是渗透测试的初学者也能够根据这些指导搭建起...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值