WEB靶场搭建教程(PHPstudy+SQLllib+DVWA+upload-labs)

最新推荐文章于 2024-03-13 19:20:57 发布
最新推荐文章于 2024-03-13 19:20:57 发布
阅读量3.7k 收藏 23
点赞数 8
分类专栏: web安全工具 文章标签: web安全 渗透测试
原文链接:https://www.freebuf.com/articles/web/270837.html
版权

WEB靶场搭建教程(PHPstudy+SQLllib+DVWA+upload-labs)


WEB靶场搭建教程

0x00 简介

渗透测试靶场基于“未知功焉知防”的理念,通过模拟真实的漏洞环境不断地训练和提高使用者的渗透测试技巧和能力,本次为大家带来几款热门的WEB靶场。

0x01 PHPstudy

作为一名积极进取的渗透从业者,电脑上肯定不止一个靶场,这时候想让它们乖乖的正常运行彼此不受干扰就不可避免的会进行WEB配置,这时候相信大家看见Apache、Tomcat、Nginx的配置文件就头大,毕竟我们现阶段的学习重心是渗透技巧;所以这里推荐大家一款PHP建站神器—phpstudty

废话不多说,给出如下地址

下载地址:https://www.xp.cn/download.html

安装教程:https://www.xp.cn/wenda/389.html

搭建站点:https://www.xp.cn/wenda/394.html

提示:安装完成后需要手工修改数据库root账号密码
在这里插入图片描述
此外,phpstudy默认的数据库管理工具phpmyadmin作者个人不怎么使用,推荐大家使用navcat进行连接
在这里插入图片描述
最后,推荐使用WAMP组合(后续都以WAMP为基础)

0x02 搭建SQLi-labs靶场

项目地址:https://github.com/Audi-1/sqli-labs/

下载链接:https://codeload.github.com/Audi-1/sqli-labs/zip/refs/heads/master
1 、下载项目并解压到磁盘上
在这里插入图片描述
2、 使用phpstudy创建站点
在这里插入图片描述
注意:

域名随意设置,但是必填且唯一(即便不用)

如果不想通过域名访问就要保证端口号唯一

如果想通过域名访问就要勾选同步hosts(杀软可能会告警,无视即可)

php版本建议使用5.4

3 修改sql-connections目录下的db-creds.inc
在这里插入图片描述
在这里插入图片描述
4、 打开浏览器访问域名,点击Setup/Reset Database初始化数据库
在这里插入图片描述
此时数据库已初始化成功,如果看到一堆Error就要检查账号密码是否正确以及数据库服务是否开启

5、 测试

回到主页点击Less-1
在这里插入图片描述
在这里插入图片描述

作者提示我们他希望输入一个数字ID作为参数,那就来一个GET参数试试
在这里插入图片描述
靶场运行正常!

0x03 搭建DVWA靶场

有了上面的基础,接下来的步骤直接加速
项目地址:https://codeload.github.com/digininja/DVWA/zip/master
1、 下载并解压
在这里插入图片描述
2、 进入config目录,复制其中文件并去掉dist后缀
在这里插入图片描述
3、 打开config.inc.php
在这里插入图片描述
由于部分小伙伴对于数据库并不熟悉,所以推荐大家使用root账号
在这里插入图片描述
4 使用phpstudy创建站点
1619308604_6084b03cd3ee21f48d036.png!small?1619308605852
5 访问域名
在这里插入图片描述
dvwa的检测程序提示我们部分功能未开启
6、 开启URL包含功能
打开PHP配置文件php.ini(注意要打开与站点配置相同版本的)
在这里插入图片描述
搜索allow_url_include,可见此时是关闭的
在这里插入图片描述
将Off修改为On
在这里插入图片描述
7、 回到首页重启WEB服务器
1619308673_6084b081ad192290cec49.png!small?1619308674610
8 、回到浏览器刷新页面
在这里插入图片描述
可见环境检测通过

9 、点击Create/Reset Database初始化数据库
在这里插入图片描述
10、 点击login
1619308701_6084b09d33341856f4d20.png!small?1619308702063
dvwa默认账号密码为:admin password

11、 成功登录至DVWA靶场
在这里插入图片描述

0x04 搭建upload-labs靶场

项目官网:https://github.com/c0ny1/upload-labs

项目源码:https://codeload.github.com/c0ny1/upload-labs/zip/refs/tags/0.1
说明:该靶场需要修改部分配置,可能会与其他靶场产生冲突,如果不想被莫名其妙的问题在折磨,可以使用作者安装好的环境(使用单独一套WEB配置),但是需要额外注意端口冲突等问题

如果不想自己动手直接快进到本节第六部分

上面两个都是使用不同域名相同端口区分站点,接下来使用不同端口区分站点

1 、下载并解压文件
在这里插入图片描述
在根目录下创建upload目录
在这里插入图片描述
2、 重点看下官网的介绍
在这里插入图片描述
PHP版本推荐5.2.17,开启gd2和exif拓展同时设置Apache以moudel方式连接

3、 使用phpstudy创建站点
在这里插入图片描述
注意:本次端口号使用23333

4 、开启PHP拓展
检查gd2拓展和exif拓展(点击对应的拓展名即可开启/关闭)
在这里插入图片描述
5 设置Apache以moudel方式连接

注意:当系统存在多个站点时(特别是PHP版本不同)不能设置此选项,该步骤仅作为演示教学
定位php5apache2_2.dll
在这里插入图片描述
打开Apache配置文件httpd.ini
在这里插入图片描述
增加配置
在这里插入图片描述
在这里插入图片描述
重启WEB服务器

6、 打开站点测试
在这里插入图片描述
OK,可以收工了

0x05 END

靶场搭建完毕后就要不断地练习练习再练习

转载自:https://www.freebuf.com/articles/web/270837.html

SunshiningFire
关注
  • 8
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
搭建PhpStorm+PhpStudy开发环境的超详细教程
10-14
主要介绍了搭建PhpStorm+PhpStudy开发环境的超详细教程,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
pikachu靶场之暴力破解
qq_53238442的博客
10-18 2120
今天凌晨睡不着,想着出一期pikachu靶场的暴力破解模块。 暴力破解简介 简单的介绍 准备工作 ok准备工作完成!我们废话少说直接进行靶场实操???? 一、基于表单的暴力破解 二、验证码绕过(on server) 三、验证码绕过(on client) 四、token放爆破? 暴力破解简介 “暴力破解”是一种攻击手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。过程就是,使用大量的认证信息在认证接口进行登录尝试,直到得到正确的结果。为了提高效率,一般会采用带...
DVWA 靶场搭建
最新发布
theRavensea
03-13 636
DVWA(Damn Vulnerable Web App)是一个基于 “PHP + MySQL搭建Web应用程序,皆在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助Web开发者更好地理解Web应用安全防范的过程
【工作日记15】渗透测试靶机搭建phpstydy+DVWA+pikachu
liu0yun的博客
07-08 1170
接上一篇,使用nmap发扫描时,发包速率可以通过发包时抓包,tcpdump -i wan host 192.168.1.3大致查看扫描过程1秒的发包数量。 靶机搭建参考文章: https://laolisafe.com/2114.html https://www.lywlbk.com/jiaocheng/496.html/ 另一种方法:https://www.cnblogs.com/p201721210007/p/12013026.html 资源:https://pan.baidu.com..
适合DVWASQL-li-labPHPStudyDVWASQL-li-labs
03-26
免费的工具包,下载安装配置好即可使用,给个小赞吧。
PHP+phpStudy+MySQL NBA湖人网站系统
12-21
基于phpStudy+MySql,NBA湖人队官方系统,有前台页面,新闻,商城,球员等功能;也有后台管理页面;用户分为超级管理员和普通户。
web靶场搭建
2301_76329510的博客
03-28 631
安全靶场,即模拟的、用于练习的、已发现、漏洞的攻击对象。未经他人允许,对别人计算机攻击,容易进局子喝茶,前提是被发现。
01. Web漏洞靶场搭建
weixin_43909650的博客
12-13 1996
2022网安冬令营(web安全/渗透测试/实战训练)——蚁景网安 https://ke.qq.com/course/5874132#term_id=106089914
Web漏洞靶场搭建
m0_56632799的博客
07-19 3289
小白学习网安之Web漏洞靶场
BurpSuite实战教程01-web渗透安全测试(靶场搭建及常见漏洞攻防)
liaomin416100569的专栏
12-13 9162
渗透测试(Penetration test)即安全工程师模拟黑客,在合法授权范围内,通过信息搜集、漏洞挖掘、权限提升等行为,对目标对象进行安全测试(或攻击),最终找出安全风险并输出测试报告。Web渗透测试分为白盒测试和黑盒测试,白盒测试是指目标网站的源码等信息的情况下对其渗透,相当于代码分析审计。而黑盒测试则是在对该网站系统信息不知情的情况下渗透。Web渗透分为以下几个步骤,信息收集,漏洞扫描,漏洞利用,提权,内网渗透,留后门,清理痕迹。
upload-labs靶场详解
人若有志,就不会在半坡停止。
11-07 1608
1.定义:是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。本质为Apache配置⽂件,提供 了针对⽬录改变配置的⽅法,在⼀个特定的⽂档⽬录中放置⼀个包含⼀个或多个指 令的⽂件,2.允许.htaccess⽂件使⽤,httpd.conf配置⽂件中AllowOverride参数设置为All。3.参数:type 表示可以被分多个子类的独立类别,subtype 表示细分后的每个类型。以作⽤于此⽬录及其所有⼦⽬录,管理相关⽬录下的⽹⻚配置。
phpstudy+靶场sqli-labs-master下载
11-08
phpstudy+靶场sqli-labs-master下载
PHP开发环境配置和PHP程序(phpStudy+PhpStorm)
06-03
PHP开发环境配置和PHP程序(phpStudy+PhpStorm) PHP开发环境配置和PHP程序(phpStudy+PhpStorm)
phpStydy + mysql 操作数据库增删改查 后期api 接口
weixin_43617604的博客
08-28 1041
目的: 练习php与mysql数据库实现数据正删改查待续。。。 安装好 phpstydy 和 mysql Navicat for Mysql 打开后新建本地 服务器 立表格 在phpstudy 里创建的服务器中 新建 文件index.php 这里是开启服务器的链接步骤 <?php // 1 链接数据库 数据库链接名称 用户 密码 $link=mysqli_connect("zongcai", "zongcai","zongcai"); // 判断是否
WEB靶场系类搭建
WEB渗透测试 从入门到萌新
04-19 1957
环境 winodws-phpstudy+centos-vulhub+ubuntu-vulhub DVWA 1、进 phpmyadmin创建dvwa数据库 2、修改配置文件 3、输入127.0.0.1/dvwa 安装 pikachu 1、直接修改配置文件 2、127.0.0.1/pikachu //安装 sqli-labs 1、修改配置文件 user+pass 即可 2、127.0.0.1/sql //安装 3、sqli-labs靶场源码下载:https://githu
如何用手机测试自己写的web页面
weixin_34390105的博客
06-11 619
  手机测试自己写的web页面方法有很多,在这里稍微介绍一种,步骤如下  1 首先安装软件phpstudy,安装后打开如图    2 启动phpstudy    3 启动成功后,如图所示(注意:如果此处两个点没有变成绿色表示环境有些问题)    4 电脑开启wifi ,然后手机连上电脑的wifi,这一点很重要哦 (注意:保证手机和电脑在同一个局域网下)  5 phpstydy安装后,找到安装路径...
文件上传漏洞(一) upload-labs靶场练习
好好睡觉
03-18 5278
常见文件上传漏洞类型总结、upload-labs靶场
upload-labs靶场安装
剁椒鱼头没剁椒的博客
11-07 4894
PhpStudy国内12年老牌公益软件,集安全,高效,功能与一体,已获得全球用户认可安装,运维也高效。支持一键LAMP,LNMP,集群,监控,网站,FTP,数据库,JAVA等100多项服务器管理功能。upload-labs是练习文件上传很好的一个靶场
Web安全-渗透测试-基础知识03
Python栈
06-16 96
Vulhub是一个基于docker和docker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身我是用kali上安装的,但是官方推荐用Ubuntu,具体看个人喜好吧。
upload-labs靶场搭建phpsudy
08-18
搭建upload-labs靶场,你可以按照以下步骤进行: 1. 首先,你需要拉取upload-labs的镜像到你的本地仓库。你可以使用以下命令来拉取镜像:docker pull cuer/upload-labs。下载完成后,你可以将源代码解压并按照相关指南进行配置和部署。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [upload-labs靶场的安装搭建](https://blog.csdn.net/qq_51331767/article/details/129196926)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [利用phpstudy 搭建DVWA靶场 sqli-labs 和 upload-labs](https://blog.csdn.net/weixin_53747497/article/details/128535100)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值