常见Web安全靶场搭建

最新推荐文章于 2024-07-25 10:08:48 发布
最新推荐文章于 2024-07-25 10:08:48 发布
阅读量649 收藏 7
点赞数 2
文章标签: web安全 php mysql 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_43397796/article/details/128533521
版权

web安全常见靶场搭建

不清楚什么原因,我电脑phpstudy的mysql无法打开,于是重下了mysql并重新安装一下靶场

本文主要通过WAMP / WNMP搭建靶场(主要是简单),后面会简单讲一下LAMP、LNMP和docker搭建靶场

下载phpstudy(小皮面板)

https://www.xp.cn/download.html

建议通过官网下载最新版,PHPstudy某些版本可能会有后门,后门利用参考下文

https://blog.csdn.net/song123sh/article/details/124229861

下载、解压、一路下一步

安装完以后如下图

phpstudy主页面

访问http://127.0.0.1,PHPstudy默认开放80端口,如果使用内网ip访问不了的话需要看一下防火墙

防火墙

如下图,即为phpstudy配置成功

phpstudy配置成功

DVWA

下载地址:https://github.com/digininja/DVWA/archive/refs/tags/2.0.1.zip

下载、解压,将解压后的DVWA-2.0.1文件夹放入到phpstudy/WWW文件夹下,如下图

目录结构

配置config.inc.php

访问http://ip/DVWA-2.0.1,正常会出现DVWA System error ,按照提示将config目录下的config.inc.php.dist文件复制并重命名为config.inc.php后,刷新,出现下二图

DVWA系统错误

DVWA数据库设置

打开config.inc.php,可以看到dvwa的数据库账号密码,这里我们可以将其改为自己的数据库,也可以在小皮面板上新建数据库。这边我们选择新建数据库

注意:需要将下方db_port改为3306

config.inc.php

新建数据库时提示要求修改root密码

修改默认密码

按照配置文件新建数据库

新建数据库

配置php.ini

配置php.ini,将红色部分改为绿色即可。点击左侧设置,php.ini,在弹出来的php.ini中按ctrl+F搜索网页中红色的部分allow_url_include,将off改为on,并在首页重启Nginx/Apache,可以看到刚才红色的部分已经变绿

如何打开php.ini

php.ini配置DVWA配置完成

点击当前网页最下方的Create / Reset Database按钮,如果出现CSRF token is incorrect,就换一个浏览器试试。如果出现下二图所示,则代表安装成功,安装成功后自动跳转到登陆页面,默认账密admin/password

报错1

安装成功

主页

默认难度为impossible,新手可以将其设为low

设置难度

sqli-labs

https://github.com/Audi-1/sqli-labs

该版本需要php5

下载

点击右上角的<> code,然后点download zip,下载以后解压,复制到WWW目录下

image-20230103143547825

目录结构

打开小皮面板,在左侧点击软件管理,上方PHP,选择php5.4.45nts安装

下载php5

下载完成后,点击左侧网站,右侧管理php版本,将php版本改为5.4.45

image-20230103144920005

配置数据库

访问网站,点左上角第二行设置数据库

Setup/reset database

出现报错,提示setup-db.php文件出错

报错

打开该文件可以看到包含了db-creds.inc,该文件包含了连接数据库的的参数

image-20230103144229765

打开db-creds.inc,将用户、密码改为root用户的

image-20230103145336260

配置好后,返回浏览器刷新,出现下图即代表安装成功

image-20230103145119431

访问http://IP/sqli-labs-master/Less-1/?id=1代表成功

image-20230103145226726

upload-labs

https://github.com/c0ny1/upload-labs

下载https://github.com/c0ny1/upload-labs/releases/download/0.1/upload-labs-env-win-0.1.7z

按照github上的方法下载release中的压缩包,解压后双击exe即可

image-20230103145956951

pikachu

https://github.com/zhuifengshaonianhanlu/pikachu

访问http://IP/pikachu-master/,点击正上方的提示:欢迎使用,pikachu还没有初始化,点击进行初始化安装!

image-20230103150550706

按照提示一步步安装即可

image-20230103150721162

LAMP安装靶场

docker下载LAMP

sudo docker pull mattrayner/lamp:1604-php5-base

image-20230103153959113

docker images查看镜像

image-20230103154019125

mkdir -p /tmp/dvwa/app

cd /tmp/dvwa

docker run -dit -p "8088:80" -v ${PWD}/app:/app mattrayner/lamp:1604-php5-base

访问http://127.0.0.1:8088,出现下图即代表搭建lamp成功

image-20230103154225488

image-20230103154426675

下载DVWA靶场

wget https://github.com/digininja/DVWA/archive/master.zip

unzip master.zip

mv DVWA-master dvwa

下载并解压压缩包,将文件夹改名

image-20230103154700619

进入config文件夹,将config.inc.php.dist改名为config.inc.php

image-20230103155018003

vi config.inc.php,将配置文件改为下图

$_DVWA = array();
$_DVWA[ 'db_server' ] = '127.0.0.1';
$_DVWA[ 'db_database' ] = 'dvwa';
$_DVWA[ 'db_user' ] = 'root';
$_DVWA[ 'db_password' ] = '';
$_DVWA[ 'db_port'] = '3306';

docker ps -a查看容器的id,注:每个人的容器ID都不一样

image-20230103155537999

docker exec -it ID /bin/bash ,进入容器

cd /etc/php/5.6/apache2/

vi php.ini配置php.ini

找到allow_url_include,将其改为on

image-20230103155857230

service apache2 restart,重启Apache

重启Apache后使用exit退出docker

cd /tmp/dvwa/app
chmod -R 777 dvwa/hackable/uploads/
chmod -R 777 dvwa/external/phpids/0.6/lib/IDS/tmp/
chmod -R 777 dvwa/config

image-20230103160515555

在容器的数据库中创建数据库

sudo docker exec 容器ID mysql -uroot -e "create database dvwa"

登陆账号密码admin/password

Docker安装靶场

docker search upload-labs

docker pull c0ny1/upload-labs

image-20230103161439973

docker run -dit -p 8082:80 c0ny1/upload-labs

image-20230103161522303

访问8082端口

image-20230103161604977

神丶上单
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络安全靶场搭建与练习
weixin_46145739的博客
01-02 3956
网络安全靶场搭建与练习 DVWA是一款基于PHP和mysql开发的web靶场练习平台,集成了常见web漏洞如sql注入,xss,密码破解等常见漏洞。本教程将以DVWA为例,演示常见web漏洞的利用和攻击。 DVWA软件截图如下 安装教程 1.安装过程中需要将config目录下的config.inc.php.dist文件名称修改为config.inc.php,同时配置好里面的数据库 $_DVWA[ 'db_server' ] = '127.0.0.1'; $_DVWA[ 'db_database'
跟老韩学安全靶场搭建
老韩讲安全
02-20 362
我们下载好源码之后,将源码复制黏贴到phpstudy的www目录中,随后我们使用navicat for mysql链接本地mysql创建三个库,分别为webug、webug_sys、webug_width_byte(这里是因为webug并不像其他靶场一样有自动创建的功能,我们需要手动创建数据库后进行数据导入),随后我们可以双击打开数据库,随后在表位置右键->运行sql文件,这里我们选择webug目录里面sql目录下的sql文件对应名称进行导入。
Web漏洞靶场搭建
m0_56632799的博客
07-19 3362
小白学习网安之Web漏洞靶场
Web安全靶场、渗透工具、信息收集、输入输出漏洞、业务逻辑漏洞
jennycisp的博客
06-03 317
包含了靶场、渗透工具、信息收集、输入输出漏洞、业务逻辑漏洞。
Web安全 Pikachu(皮卡丘)靶场搭建.
热门推荐
网络安全领域___专研者.
03-04 1万+
Pikachu(皮卡丘)是一个自带Web漏洞的应用系统,在这里包含了常见web安全漏洞。如果你是一个想学习Web渗透测试人员,并且没有找到合适靶场,则可以使用这个Pikachu(皮卡丘)进行练习。(靶场包含:1.暴力破解,2.XSS,3.CSRF,4.SQL注入5.RCE,6.文件包含,7.不安全的文件下载,8.不安全的文件上传,9.越权,10.目录遍历,11.敏感信息泄露,12.PHP反序列化,13.XXE ,14.URL重定向,15.SSRF)
Web安全技术期末考查-vulhub靶场搭建及漏洞复现
weixin_52363821的博客
05-27 2327
vulhub靶场搭建及漏洞复现。搭建弱点环境,详细的漏洞验证过程,修复、防御方法。
Web 漏洞靶场收集
SunJ3t的菠萝屋
05-24 1139
1. 前言 Web 漏洞靶场对于学习 Web 渗透来说是一个很好的选择,也可以拿来验证扫描器的的效果,下面会给出常见Web 漏洞靶场,以供大家学习,具体的安装和搭建过程请移步相关靶场的文章。 当然最好的学习方法就是在学习了 Web 漏洞后自己编写漏洞环境,在利用该漏洞的基础上学会修复。 2. 靶场 2.1 DVWA 2.1.1 靶场介绍 DVWA (Damn Vulnerable Web Application) 是 Web 安全入门级的靶场,用来进行安全脆弱性鉴定的 PHP/MySQL Web 应用,
Vulhub 靶场搭建
RestoreJustice的博客
03-16 1885
Vulhub是一个基于docker和docker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。安装 docker 和 docker-compose 后即可开始使用Vulhub,我使用ubuntu2018.04.5搭建官方安装命令如下(详情请见下文)# Run。
pikachu靶场搭建教程(官方版)
Elite的博客
07-12 1万+
Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见web安全漏洞。 如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意
Web安全:bWAPP 靶场搭建.(集成了各种常见漏洞和最新漏洞的开源Web应用程序)
网络安全领域___专研者.
06-15 2931
bWAPP是一个集成了了常见漏洞的 web 应用程序,目的是作为漏洞测试的演练场,帮助安全爱好者,开发人员和学生发现和防止Web漏洞。它有超过100个网络漏洞数据,包括所有主要的已知网络漏洞.
webgoat靶场需要自行搭建
01-19
这个项目由OWASP(开放网络应用安全项目)维护,旨在帮助开发者、安全人员以及学生理解和学习常见Web应用漏洞,从而提高他们的安全意识和技能。 WebGoat靶场搭建过程涉及到以下几个关键知识点: 1. **Web...
web靶场搭建zip文件
08-25
在本文中,我们将探讨如何使用提供的"web靶场搭建zip文件"来创建一个这样的环境。 首先,我们需要理解"源码"标签所指的内容。源码是指编程语言编写的未编译的原始代码,它可以被程序员理解和修改。在Web靶场搭建...
pikachu靶场搭建
02-27
"pikachu靶场搭建"就是一个专为Web渗透测试学习者设计的实践环境。pikachu包含了各种常见Web安全漏洞,使得用户可以在一个可控的环境中模拟真实的安全攻防场景,学习如何发现并修复漏洞。 首先,我们需要了解什么...
DVWA网络安全靶场搭建与练习 附攻略和在线版
01-02
《DVWA网络安全靶场搭建与练习 附攻略和在线版》 网络安全靶场是一种模拟真实网络环境,用于安全教育、训练和测试安全技能的平台。DVWA(Damn Vulnerable Web Application)是其中非常受欢迎的一个开源项目,专为...
本地靶场搭建--常见靶场环境集锦
04-28
"本地靶场搭建--常见靶场环境集锦" 提供了一系列经典的靶场平台,帮助用户深入理解并实践各种安全漏洞。下面将详细介绍这些靶场环境以及它们所涉及的知识点。 1. DVWA (Damn Vulnerable Web Application) DVWA 是一...
网络安全之初始访问阶段攻防手段(三)
最新发布
子非渔
07-25 989
初始访问阶段攻防手段(SEIM、NDR、EDR、XDR、SOC、态势感知、僵木蠕、DNS、NETFLOW、DDOS、WAF、防火墙、日志审计)以及使用场景。
微软蓝屏事件:网络安全的多维挑战与应对策略
sinner小屋
07-23 781
微软蓝屏事件,这一近期震动全球科技界的重大事件,起因于一次看似平常的软件更新。美国电脑安全技术公司“众击”发布的更新包中隐藏着一个致命的“缺陷”,这个缺陷如同潜伏的病毒,一旦被激活,便在全球范围内引发了连锁反应。近850万台设备,从个人电脑到关键行业的服务器,无一幸免地遭遇了系统崩溃,屏幕上只剩下一片冰冷的蓝色。这一事件不仅影响了日常办公,更是波及了航空、医疗、传媒等关键领域,造成了航班延误、医疗服务中断、信息传播受阻等一系列严重后果。
网络安全相关竞赛比赛
黑战士的博客
07-18 1058
湖南省委网信办联合省教育厅、省广播电视局、省政务管理服务局、省通信管理局、长沙市人民政府等6家单位共同主办。教育部认可的大学生学科竞赛网站链接(2023版)关键字:比赛、CTF、赛事、技能挑战。浙江省大学生网络与信息安全竞赛。全国网络安全行业职业技能大赛。湖南省“网安湘军杯”
如何搭建web渗透靶场
07-28
搭建web渗透靶场可以按照以下步骤进行: 1. 选择合适的操作系统:首先,你需要选择一个适合搭建web渗透靶场的操作系统。常见的选择包括Kali Linux、Parrot OS等,它们都是专门为渗透测试和安全研究而设计的操作系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值