Vulfocus 官方介绍 以及 环境安装

最新推荐文章于 2025-05-20 11:12:41 发布
最新推荐文章于 2025-05-20 11:12:41 发布
阅读量6.2k 收藏 23
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 工具 文章标签: 安全
原文链接:https://blog.youkuaiyun.com/x650007/article/details/121406363
Vulfocus是一个便捷的漏洞集成平台,提供一键启动的漏洞环境,支持docker镜像,具备flag功能和计分系统。通过Vulfocus官网或Docker仓库获取漏洞镜像,简单几步即可完成安装,适合安全人员和学习者使用。安装过程包括拉取镜像、运行Vulfocus容器、启动镜像及访问靶场环境。遇到权限问题可调整Docker配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

转载于:Vulfocus 官方介绍
Docker环境+Vulfocus环境的安装(无脑安装,有手就会)

Vulfocus 官方介绍

Vulfocus 是一个漏洞集成平台,将漏洞环境 docker 镜像,放入即可使用,开箱即用。

Vulfocus 官网:https://fofapro.github.io/vulfocus/

在线 Vulfocus:

  • http://vulfocus.fofa.so/
  • http://vulfocus.io/
  • http://vulfocus.club/
背景

漏洞靶场是目前每个安全人员以及想学习信息安全的人必备的东西,但目前商业化产品居多,还有一些类似 dvwa、 sqli-labs 这类的开源项目,但是漏洞环境比较固定,使用完一次后就失去其作用。搭建的成本过高,每次启动的流程会比较繁琐,甚至很多场景是不满足的,之前关于漏洞环境镜像使用多的是 vulhub,但是作为企业、高校等以及相关的培训,单纯的漏洞环境不一定能满足使用的需求,所以我们基于当下的一些靶场项目做出了小小的改进来符合我们的一些需求,比如增加 flag 的形式,来满足一些考核与验证的需求,可以对我们内部人员能力进行考核,于是 Vulfocus 就诞生了。

认识 Vulfocus

因为 Vulfocus 一个漏洞集成平台,所以可以无限向里添加漏洞环境没有限制,前提是你的内存足够大。因为漏洞环境是docker镜像的原因每次重新启动漏洞环境都会还原,不用出现你会对环境造成破坏下次无法启动的现象。
Vulfocus 的 docker 仓库 https://hub.docker.com/u/vulfocus

Vulfocus的特性

  • 启动:一键漏洞环境启动,方便简单。
  • 自带 Flag 功能:每次启动 flag 都会自动更新,明确漏洞是否利用成功。
  • 带有计分功能也可适用于相关安全人员能力的考核。
  • 兼容 Vulhub、Vulapps 中所有漏洞镜像。
  • 支持可视化编排漏洞环境
使用

在这里插入图片描述

1、安装完成后,访问80端口

2、用设置好的管理员账户登录

3、首页为漏洞集成页面,刚开始是没有漏洞镜像的需要从 https://hub.docker.com/ 网站拉取镜像,或自己以tar包的形式上传。
漏洞镜像的拉取和上传(需管理员权限):
(1)在进行管理中,添加功能

在这里插入图片描述

(2)分别填入漏洞名称、镜像、rank、描述
♦ 镜像又分为文件和文本
♦ 文本:是从 https://hub.docker.com/u/vulfocus 官网拉取镜像。内容为如: vulfocus/webmin-cve_2019_15107 。
♦文件:本地漏洞镜像打成tar包的形式进行上传。

4、下载完成后点击启动即可。

5、镜像启动后,会在环境里写入一个 flag (默认 flag 会写入 /tmp/ 下),读取到 flag 后填入 flag 窗口,镜像会自动关闭,如需重新启动,需强刷一下,然后再次点击启动即可。

6、可视化编排(管理员权限)

在这里插入图片描述

7、场景模式(普通用户权限)

在这里插入图片描述

8、计时模式

在这里插入图片描述

FAQ

镜像启动后立即访问地址失败?
° 根据镜像的大小,启动时间会有不同的延迟,一般在几秒以内。

提交完 flag 后会有卡住?
° 在提交完正确flag后,会进行镜像关闭的动作,所以会有几秒的延迟。

拉取镜像时一直卡在哪里
° 由于网络延迟或镜像太大的原因时间会长一点。
° 镜像名称填错,也会卡在哪里,建议强刷一下。

Centos 无权限操作Docker
centos7 docker版本应用无法添加镜像

Docker环境+Vulfocus环境的安装

安装好docker之后

Vulfocus靶场安装
【1】拉取vulfocus镜像

可以使用下面的命令行形式,也可以使用docker desktop图形界面形式安装。

sudo docker pull vulfocus/vulfocus:latest

【2】运行 Vulfocus

sudo docker run -d -p 80:80 -v /var/run/docker.sock:/var/run/docker.sock -e VUL_IP=你的机器ip地址 vulfocus/vulfocus

具体参数详见Vulfocus官网手册:
https://fofapro.github.io/vulfocus/#/INSTALL

【3】查看一下Vulfocus环境ID

sudo docker ps -a

到此,Vulfocus安装并启动成功,为了方便下次运行,我们可以保存下Vulfocus的运行ID:670c37cfaccf,下次启动的时候可以直接输入ID启动Vulfocus环境。

【3.1】启动Vulfocus环境

sudo docker start 环境ID

其实已经是启动状态的,这步也可以省略直接下一步。

【3.2】查看是否启动成功

sudo docker ps -a

【4】访问靶场环境
http://你的机器ip地址/#/dashboard

在这里插入图片描述

如出现:docker 权限问题 Got permission denied while trying to connect to the Docker daemon socket at 。。。

尝试以下命令解决:

sudo chmod a+rw /var/run/docker.sock

默认的用户名密码是:admin、admin

vulfocus的使用
qq_59020256的博客
04-19 717
docker run -d -p 80:80 -v /var/run/docker.sock:/var/run/docker.sock -e VUL_IP=192.168.0.105 vulfocus/vulfocus用户名:admin密码:admin。
kali:docker搭建vulfocus靶场
虚心学习,脚踏实地
05-01 1997
超详细docker搭建vulfocus靶场
Web安全Vulfocus 靶场搭建.(漏洞集成平台)
网络安全领域___专研者.
11-14 2462
Vulfocus 是一个包含了多种漏洞靶场的镜像。每个靶场都有具体的漏洞环境和攻击点。Vulfocus 的靶场包括了 Web 安全漏洞、系统安全漏洞、网络安全漏洞、密码学漏洞等多种类型。通关这个靶场我们可以学习很多的漏洞知识和攻防方法和技巧。
vulfocus::rocket:Vulfocus是一个扩展集成平台,将打破环境docker合并,放入即可使用,开箱即用
02-02
欢迎来到Vulfocus :rocket: Vulfocus是一个突破集成平台,将突破环境docker扩展,投入即用,开箱即用。 Vulfocus官网: ://fofapro.github.io/vulfocus/ 在线演示: : 背景 进攻靶场是目前每个安全人员以及想学习信息安全的人必备的东西,但目前商业化产品居多,还有一些类似的dvwa,sqli-labs这类的开源项目,但破坏环境比较固定,使用完一次后就失去其作用。建造的成本过高,每次启动的流程会比较繁琐,甚至很多场景是不满足的,之前关于突破性的环境耦合使用多的是vulhub,但是作为企业,高校等以及相关的培训,单纯的突破环境不一定能满足使用的需求,所以我们基于当下的一些靶场项目做出了一些小的改进来符合我们的一些需求,从而增加了标志的形式,来满足一些考核与验证的需求,可以对我们内部人员能力进行考核,于是Vulfocus就诞生了。 认识Vulfocus 因为Vulfocus一个突破性的集成平台,所以可以无限向里添加裂缝环境没有限制,而是是你的内存足够大。破坏下一无法启动的现象。 Vulfocus的docker仓库 Vu
kali安装部署vulfocus
最新发布
m0_75148826的博客
05-20 194
点击镜像管理->一键同步,vulfocus就成功部署完成。搜索kali的ip即可,账户密码都为admin。查看doker镜像是否生效。出现错误,开始排错。更新APT软件源列表。重启docker服务。
国产开源网络安全渗透测试集成靶场vulfocus
顺其自然~专栏
10-17 2863
进入项目所在的目录的vulfocus-api文件夹目录下,执行下面命令。
Vulfocus 入门+初级
大雾
05-20 4426
名称: 命令执行漏洞 描述: 命令执行(Command Execution)漏洞即黑客可以直接在Web应用中执行系统命令,从而获取敏感信息或者拿下shell权限 命令执行漏洞可能造成的原因是Web服务器对用户输入命令安全检测不足,导致恶意代码被执行 flag 存放在tmp路径下 名称: vulshare/python-flag:latest 描述: 目录浏览漏洞属于目录遍历漏洞的一种,目录浏览漏洞是由于网站存在配置缺陷,存在目录可浏览漏洞,这会导致网站很多隐私文件与目录泄露,比如数据库备份文件、配置.
vulfocus——showdoc文件上传(cnvd-2020-26585)
m0_62063669的博客
09-17 1499
ShowDoc是一个非常适合IT团队的在线API文档、技术文档工具。通过showdoc,你可以方便地使用markdown语法来书写出美观的API文档、数据字典文档、技术文档、在线excel文档等等。3.访问文件路径,出现“hello”,说明木马是成功写入的,用webshell工具连接获得flag。2.写入一句话木马,然后发送,返回文件路径。1.打开web页面直接抓包,然后改包。4.或者不使用webshell工具。
从头开始搭建vulhub_vulfocus.pdf
10-27
本文将详细介绍从零开始搭建vulhub和vulfocus环境的全过程,包括购买服务器、安装Docker、配置docker-compose、下载安装vulhub和vulfocus等关键步骤。 首先,介绍vulhub和vulfocus。vulhub是一个开源项目,它提供了...
搭建Docker_vulhub_vulfocus_inglong_灯塔_awvs.md
10-27
例如,对于vulhub和vulfocus,用户需要先安装Docker环境,然后通过克隆GitHub仓库获取对应的Dockerfile或Docker Compose配置文件,最后通过Docker命令启动相应的服务。整个过程涉及到的Docker命令可能包括`docker-...
vulfocus/dvwa
02-19
### Vulfocus 和 DVWA 介绍 #### Vulfocus Vulfocus 是一款用于安全研究和教育目的的容器化漏洞平台。该工具旨在简化漏洞环境部署流程,使研究人员能够快速构建并运行各种已知的安全漏洞实例[^1]。 #### DVWA ...
使用Vulfocus复现log4j2
Aquarius_ego的博客
05-11 988
log4j2漏洞介绍 漏洞原理 Log4j2基础 Jndi基础 log4j2漏洞复现 vulfocus靶场安装 docker pull vulfocus/vulfocus:latest #拉取vulfocus镜像 docker run -d -p 80:80 -v /var/run/docker.sock:/var/run/docker.sock -e VUL_IP=192.168.111.105 vulfocus/vulfo...
Vulfocus 官方介绍
温氏效应
09-04 5647
Welcome to Vulfocus ???? Vulfocus 是一个漏洞集成平台,将漏洞环境 docker 镜像,放入即可使用,开箱即用。 Vulfocus 官网:https://fofapro.github.io/vulfocus/ 在线 Vulfocus: http://vulfocus.fofa.so/ http://vulfocus.io/ http://vulfocus.club/ 背景 漏洞靶场是目前每个安全人员以及想学习信息...
vulfocus——Tomcat任意写入文件漏洞(CVE-2017-12615)
Zichel77的博客
08-09 1337
打开靶场如图 根据提示,可以使用PUT方法上传任意文件,于是抓包 将其传给Repeater 将头修改为PUT,并上传jsp文件,注意上传的时候一般jsp都是不被允许上传的,所以我们需要绕过,主要有三种方法 注意!!!!PUT后面要有空格!!!!否则行不通!!!! 法一: 使用斜杠/,斜杠在文件名中是非法的,所以会被去除(Linux和Windows) PUT /x.jsp/ HTTP/1.1 法二: 使用空格%20,在Windows下不允许文件以空格结尾,因此上传到windo..
漏洞靶场搭建-Vulfocus
SuperherRo的博客
01-19 3424
Vulfocus 是一个漏洞集成平台,将漏洞环境 docker 镜像,放入即可使用,开箱即用。
使用vulfocus靶场复现Tomcat 任意写入文件漏洞(CVE-2017-12615)
R0ot
10-15 1211
访问192.168.229.130:50997即可打开tomcat 文件上传 (CVE-2017-12615)漏洞环境。修改GET类型为PUT,之后再 最下面插入冰蝎一句话木马,点击send返回201说明成功了。运行后可以看到报错了,JDK版本为11.0,冰蝎需要在Java1.8.0下运行。复制about:preferences到火狐浏览器中打开,配置代理。Tomcat 任意写入文件漏洞(CVE-2017-12615)可以看到版本已经为1.8.0了,我们再次运行冰蝎子。搜索CVE-2017-12615。
Vulfocus 开源项目安装与使用指南
gitblog_00126的博客
08-09 1265
Vulfocus 开源项目安装与使用指南 vulfocus????Vulfocus 是一个漏洞集成平台,将漏洞环境 docker 镜像,放入即可使用,开箱即用。项目地址:https://gitcode.com/gh_mirrors/vu/vulfocus 目录结构及介绍 在成功克隆 vulfocus 的代码仓库之后, 您将看到以下主要的目录结构: 主要目录 vulfocus-api: 后端应用目录,...
vulfocus靶场搭建
Elite的博客
02-21 3459
Vulfocus 是一个漏洞集成平台,将漏洞环境 docker 镜像,放入即可使用,开箱即用,我们可以通过搭建该靶场,简单方便地复现一些框架组件漏洞。
vulfocus 靶场struts2 代码执行 (CVE-2020-17530)
没有故事
04-24 1731
由于Struts2 会对某些标签属性(比如 id) 的属性值进行二次表达式解析,因此当这些标签属性中使用了 %{x} 且 x 的值用户可控时,用户即可构造一些SSRF、远程命令执行等形式的payload,并将这些恶意payload以%{...}形式传入该标签属性, 即可造成OGNL表达式执行。bash -c {echo,编码后的内容} |{base64 ,-d}|{bash , -i} #或: 抓包,改为如下内容: 红色部分为要更改的地方。监听机进行监听:nc -lvvp。
vulfocus
03-10
### VulFocus 安全漏洞学习平台使用指南 #### 平台概述 VulFocus 是一个专注于安全研究和教育的漏洞集成平台,允许用户通过简单的操作来部署各种基于 Docker 的漏洞环境镜像。这使得研究人员能够快速搭建并测试不同的漏洞场景,从而提升网络安全技能[^1]。 #### 主要功能特点 - **便捷性**: 用户只需将所需的漏洞环境Docker镜像导入到平台上就可以立即投入使用; - **自动化程度高**: 提供了自动化的安装向导以及详细的文档支持,降低了初次使用者的学习曲线; - **丰富的资源库**: 内置了大量的官方维护或者社区贡献的安全实验案例可供选择; #### 准备工作 为了顺利运行此平台,建议先完成以下准备工作: ##### 安装依赖软件 确保主机上已经正确安装了最新版本的 Docker 及其扩展工具 Compose 。对于大多数Linux发行版而言,可以按照官方说明进行设置[^2]。 ```bash sudo apt-get update && sudo apt-get install -y docker.io docker-compose ``` ##### 下载与配置 获取最新的 VulnBox 发布文件,并解压至指定目录下。接着修改 `config.json` 文件中的必要参数以适应本地网络状况和其他个性化需求。 #### 启动服务 进入项目根目录执行启动命令将会拉取必要的容器映像并将它们组合成完整的应用集群。 ```bash cd /path/to/vulfocus/ docker-compose up -d --build ``` #### 访问管理界面 打开浏览器访问 http://localhost:80 或者根据实际情况调整 IP 地址端口号,登录默认账号密码 admin/admin 即可开始探索更多有趣的功能模块。 #### 实验室构建流程 当决定创建一个新的实验室时,可以从在线仓库挑选合适的模板或是上传自定义制作好的压缩包形式的 Dockerfile 描述文件。之后填写好名称描述等基本信息提交保存便完成了整个过程。 #### 注意事项 虽然该平台极大地简化了传统方式下的复杂度,但在实际操作过程中仍需注意保护个人隐私数据不被泄露给第三方机构或恶意程序利用造成损失风险。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值