对于网络安全刚入门的小伙伴来说,经常需要搭建靶场环境让我们进行渗透测试。所谓的靶场环境,一个模拟真实网络环境的平台,允许安全人员在控制的环境下进行各种安全测试,包括渗透测试、漏洞挖掘、攻防演练等。靶场的构建可以帮助网络安全从业者在不违反法律和道德的前提下,对真实系统可能遭受的攻击和漏洞进行仿真演练,从而提升安全防护的效率和准确性。
靶场环境的构建在技术架构层面与真实网站的部署流程基本一致。虽然真实环境可能涉及更复杂的配置(如负载均衡、安全加固等),但核心运行环境都依赖于以下关键组件:
-
网站程序代码:包括前端和后端逻辑。
-
Web服务器:用于处理请求和提供服务,常见的有 Nginx、Apache、Caddy 等。
-
数据库:用于存储和管理数据,如 MySQL、MongoDB、PostgreSQL 等。
这三者是构成一个功能性网站的基础。
基于这些组件,可以衍生出多种技术栈组合,如 前端 + Python + Nginx + MySQL、前端 + Java + Nginx + MySQL、前端 + PHP + Apache + MongoDB 等。
那么既然涉及到这么多的角色,每个角色的开发、配置以及搭建完全由我们自己手动配置和管理的话,那么靶场环境搭建的整个过程将会相当繁琐且耗时,所以我们推荐使用市面上便捷的集成工具:ServBay,它能够帮助我们快速、轻松地搭建出包含各种组合的网站运行环境。
好!下面我们就开始靶场环境搭建!
ServBay
ServBay介绍
ServBay是一个开发环境管理工具,集成了常用的开发语言,包括Python、PHP、Go、Node.js等等,还集成了常用的Web服务器和数据库。对于我们需要做渗透测试,那么就需要考虑的各种情况。ServBay的核心优势在于一键切换不同版本,让你能快速模拟各种存在漏洞的目标环境。
ServBay安装
我们先安装ServBay,ServBay官方下载地址:https://www.servbay.com/download
进入ServBay的初始化界面,选择所需要安装的web服务器和语言、数据库。
等待安装完成,ServBay 会自动运行。
出现以下页面,说明安装完成。
下载并启动 MySQL 数据库
然后启动需要的服务器,我选择的是 Nginx。
准备好环境之后,我们需要安装靶场,这里我推荐的是DVWA。
DVWA
DVWA介绍
DVWA(Damn Vulnerable Web Application) 说白了就是一个专门用来练手的“漏洞百出”的网站。它里面故意搞了一堆常见的Web漏洞,比如SQL注入、XSS(跨站脚本)、文件上传漏洞啥的,特别适合想学网络安全的小伙伴们拿来练手。
DVWA包含了10个攻击模块。
另外,DVWA 还可以手动调整靶机源码的安全级别,分别为 Low,Medium,High,Impossible,这四个级别,越往后级别越高,安全防护就越严格,渗透的难度就越大。无论你是小白还是大神,DVWA都能满足你的需求!
DVWA安装
DVWA下载地址:https://github.com/digininja/DVWA
下载解压后,把文件拖动到路径:/Applications/ServBay/www/目录下。
然后将config.inc.php.dist文件后缀修改为config.inc.php,修改数据库用户名和密码就行,其他配置不用变动。
温馨提示:这里修改的是 MySQL 的管理员密码,用户名和密码默认的,我们可以看一下ServBay的面板中找到,如果修改过 MySQL 的用户名或者密码,这里需要改成你自己设置的)
配置数据库和网站
在浏览器输入https://servbay.host/,打开实例网站。点击phpMyAdmin,来到登录页面。
输入刚刚自己设置的账号和密码,进入数据库管理页面,新建数据库。
输入刚刚的数据库的名称,然后点击创建。
我们打开ServBay,创建新的网站。
在浏览器输入刚刚自己设置的域名,成功进入DVWA的登录页面。
输入默认的账号admin和密码password,登录到渗透练习页面。
好了,DVWA搭建完毕!!!恭喜恭喜!!!
点击 DVWA Security 按钮,在这个页面中可以设置 DVWA靶场的安全级别,大家就可以根据自己的需求,选择需要的级别进行渗透练习啦。
通过ServBay和DVWA结合,就能够快速地搭建出网络安全靶场环境,从小白成长为网络安全大神,指日可待!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
