Web漏洞靶场搭建

已于 2022-09-21 09:04:03 修改
阅读量3.3k 收藏 23
点赞数 13
文章标签: 安全
于 2022-07-19 11:20:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56632799/article/details/125864343
版权

前言

OWASP,全称是:Open Web Application Security Project,翻译为中文就是:开放式Web应用程序安全项目,是一个非营利组织,不附属于任何企业或财团,这也是该组织可以不受商业控制地进行安全开发及安全普及的重要原因。

OWASP_ZAP,这是一个应用于web扫描和攻击的安全工具,同时也是开源的,在截断代理以及扫描攻击上是比较强大。

OWASP TOP 10,这是每年的一份关于web应用的十大威胁安全报告,会在经过安全专家的测验之后确定十大类对当前web应用威胁最大和被应用最广的漏洞,同时也会对其进行详细的分析威胁所在。

一.漏洞靶场之DVWA

DVWA靶场是owasp官方编写的php网站,包含了各种网站常见漏洞,可以学习攻击及修复方式

六步快速搭建DVWA

1.下载并安装phpstudy

2.将解压后的DVWA源代码放置phpstudy安装目录的WWW文件夹下

3.进入DVWA/config目录,将config.inc.php.dist最后的.dist删除

4.打开刚刚重命名的config.inc.php文件,修改db_user和db_password为root

5.浏览器访问http://127.0.0.1/DVWA/setup/php,点击最下方的Create Database

6.浏览器访问http://127.0.0.1/DVWA/,输入用户名admin,密码password登录dvwa

二.安装,配置kali linux

Kali linux,最流行的一个渗透测试操作系统

安装Kali Linux

1、开启虚拟机后,选择界面安装;

 2、语言选择中文简体,然后点击继续;

  3、选择区域为中国;

4、配置键盘为美式英语,这里选择中文一样的,因为国内的电脑用的本就是没事英语键盘,然后点击继续;

 5、等待加载好配置后,输入主机名,点击继续;

6、配置域名,可以默认可以根据自己需求设置;

7、配置用户和密码,下一步账号的用户名同这一步的新用户全名;

 8、输入密码和确认密码,点击继续;

 9、磁盘分区这里选择使用整个磁盘;

 10、选择我们的磁盘,然后点击继续;

 11、磁盘分区这里使用推荐的分区方案即可;

12、结束分区向导,然后点击继续;

 13、将修改写入磁盘,这里选择“是“,然后点击”继续“;

14、等待基本系统的安装;

15、使用网络镜像,这一步骤选择‘是’,但是2020.01这一版本的安装没有这一步骤,配置代理这里直接跳过即可,直接点击”继续“;

 16、软件选择这里可以全选也可以选择一部分,但是注意Xfce的那个要选,不然没图形化,后续安装比较麻烦,然后点击”继续“;

 17、等待安装;

18、安装GRUB启动引导器到主引导记录(MBR)上,选择”是“,点击”继续“;

  19、安装启动引导至硬盘;

 20、至此,Kali安装完成,重新启动即可开启kali之旅了;

三.在Kali linux中安装Docker

1、打开kali虚拟机sources.list文件进行更改源

 

 2、在文件中输入以下内容

 3.使用sudo apt-get update进行更新

 4、使用sudo apt-get install -y docker docker-conposes安装docker

 5、使用docker --version和docker-compose --version检查安装情况

 6、进入/etc/docker/daemon.json文件中将以下内容写入 配置加速器

 7、sudo systemctl daemon-reload 重新加载配置文件和sudo systemctl restart docker 重启docker

 8、下载vulhub

 9、切换到/vulhub/tomcat/tomcat8文件下

 10、使用docker-compose build 建立容器

             docker-compose up -d 启动漏洞环境

 11.搭建完成 访问ip:8080,sudo docker-compose down关闭靶场

 

刚子116
关注
  • 13
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
WEB漏洞渗透测试靶场整理资源
浪子燕青的博客
02-26 4505
WEB漏洞渗透测试靶场整理资源 在所有人目光之外,一个人无声的坍塌下去,像是被什么火烧尽了,只余下灰烬 整理了一些WEB漏洞本地靶场资源,包括针对性的漏洞专题如SQL注入,XSS等…以及合集类的如DVWA…集合下载地址附文末 DVWA(整合类) DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 包含漏洞
渗透测试靶场环境搭建
ytdd66的博客
02-29 1347
CTF(Capture The Flag)竞赛是网络安全领域的一种竞技活动,旨在测试参与者的网络安全技能。解题模式(Jeopardy):这是最常见的CTF竞赛模式。参赛队伍需要在规定的时间内解决主办方提供的网络安全技术挑战题目。题目类型涵盖逆向工程、漏洞挖掘与利用、Web渗透、密码学、取证、隐写、安全编程等多个方面。解题的数量和正确性将决定参赛队伍的排名和得分。攻防模式(Attack-Defense):在这种模式下,参赛队伍在网络空间中相互攻击和防守。
靶场搭建】-02- 搭建OWASP靶机
最新发布
Zane的博客
06-16 408
搭建OWASP靶机
WEB安全渗透测试-pikachu&DVWA&sqli-labs&upload-labs&xss-labs靶场搭建(超详细)
m0_69583059的博客
01-23 2181
对于web安全刚入门的小伙伴来说,漏洞靶场搭建是很重要的,可以通过靶场学以致用,对所学知识点进行巩固练习。下面和我一起搭建5个比较常用的初学者入门靶场,演示搭建环境:win11系统+phpstudy。
如何部署OWASP靶机
xiaojiadong2019的博客
10-18 429
4.下图中的网络适配器选择NAT模式,如果NAT模式不能登录请切换到桥接模式(不建议使用桥接模式)7.使用默认用户名与密码登录 admin/admin。5.开启虚拟机,使用如下用户名和密码登录。(具体以自己虚拟机内IP地址为准)1.OWASP下载后解压到本地。6.登录DVWP系统界面。
【P2】VMware 下 docker 快速搭建漏洞靶场 DVWA
qq_45138120的博客
06-23 2835
包括什么是 docker、docker 和虚拟机的的区别、docker 搭建 DVWA 及执行步骤、为 kali 配置 docker 加速器、访问 dockerhub 的 dvwa 镜像、vulhub 搭建漏洞复现。
Java编写的Web漏洞靶场.zip
01-14
靶场搭建还促进了团队协作与沟通。在攻防对抗中,往往需要多人协同作战,团队成员之间需要密切配合,共同制定攻击和防御策略。这有助于培养团队合作意识,提高协同作战的效率。 此外,靶场为学习者提供了一个安全...
web靶场搭建zip文件
08-25
在本文中,我们将探讨如何使用提供的"web靶场搭建zip文件"来创建一个这样的环境。 首先,我们需要理解"源码"标签所指的内容。源码是指编程语言编写的未编译的原始代码,它可以被程序员理解和修改。在Web靶场搭建...
一些Web漏洞测试靶场.zip
01-14
靶场搭建还促进了团队协作与沟通。在攻防对抗中,往往需要多人协同作战,团队成员之间需要密切配合,共同制定攻击和防御策略。这有助于培养团队合作意识,提高协同作战的效率。 此外,靶场为学习者提供了一个安全...
漏洞靶场平台搭建漏洞分析文档
04-29
漏洞靶场平台搭建漏洞分析文档,里面包含漏洞靶场网站的搭建漏洞分析、工具使用、漏洞脚本样例,来源是红日安全,大家一起学习,进步!
Web渗透漏洞靶场收集
m0_59598029的博客
03-13 172
如果你想搞懂一个漏洞,比较好的方法是:你可以自己先用代码编写出这个漏洞,然后再利用它,最后再修复它”。—-摘自pikachu漏洞靶场的一句话。初学的时候玩靶场会很有意思,可以练习各种思路和技巧,用来检测扫描器的效果也是很好的选择。今天,我们来数数那些入门Web安全必不可错过的靶场。AWVS的测试站点,用于扫描效果验证,提供了多场景的公网靶场,也常作为漏洞利用演示的目标。Web安全入门必刷的靶场,包含了最常见的web漏洞,界面简单易用,通过设置不同的难度,可更好地理解漏洞的原理及对应的代码防护。
渗透练习-XVWA渗透测试靶场
01-26
Xtreme Vulnerable Web Application (XVWA)是一款使用PHP/MySQL编写的靶场,可以帮助初学者快速学习安全姿势巩固渗透测试知识。建议将这个靶场部署在本地服务器来提升你的能力。 指令:XVWA采用一站式安装,你可以在windows, linux 或 Mac平台下进行设置,为了能正常使用XVMA你需要按以下几个步骤配置Apache-PHP-MYSQL环境,这里我们使用的是XAMP,你也可以自己选择喜欢的集成包。 将xvwa文件复制到你的web目录,确保目录名依旧为xvwa。 配合kali效果更佳
Vulhub漏洞靶场搭建
m0_61869253的博客
03-23 740
Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。旨在让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。物理机:Windows 10虚拟机:Centos 7,网卡设置为NAT模式。
web靶场 --- sqli-labs
L0g1c的博客
07-06 1318
SQL注入的本质是用户输入的数据被当作代码执行mysql语法:查库: 查表:查列:查字段: 查看是否有注入 确实存在SQL注入漏洞查看有多少列先使用 再使用 所以得到users表有3列查看哪些数据可以回显[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-drLNqXTv-1657118499948)(https://raw.githubusercontent.com/Ckingt-k/photos/main/image-20220706192047368.png)]查看当前数
web靶机:kali linux 2.0下搭建DVWA渗透测试演练平台
墨痕诉清风的博客
05-14 3201
DVWA (Dam Vulnerable Web Application)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞,在kali linux下搭建DVWA非常方便,因为所需的apache2、mysql、php等环境在kali linux中默认已经安装好了 步骤: 1. 首先去githu...
OWASP靶机搭建
热门推荐
乾巽爻
05-26 1万+
owasp靶机应该是每个渗透入门乃至一些高手的一个试炼地之一,以下是我在靶机上搭建虚拟的方法。 1.虚拟机安装 在这里我用的是VMware14,靶机自然也是VM的。 软件安装基本也是没有什么可讲的,安装过程中电脑重启为正常程序。 下载链接【0ey4 】 这个软件的链接已失效,各大平台都有注册码,直接下载官网软件然后注册即可。 2.owasp靶机下载 下载链接 以上的是一个下载平台的...
web安全靶场信息汇总
dwh19992018的博客
01-15 1172
从各个地方搜集到的关于web靶场信息,做一个汇总,便于大家查看和自己查看。 学习web安全的常用靶场: https://www.jianshu.com/p/e36f611793d7 知乎上面对于web安全搜寻的靶场的问题: https://www.zhihu.com/question/267204109/answer/320502511 本人准备练习自搭建靶场,现在正在尝试中: 大佬弄得自搭建靶场 Web–Training v1.0 https://github.com/Tomassky/Web–Train
Ms17-010进行WEB提权之实践下某培训靶机服务器
dfdhxb995397的博客
05-17 258
前言:该机器为某个其他培训机构的靶机,说实话在这里没炫耀啥,只是给各位学习Ms17010的同学指一条路,我原先也折腾这玩意儿好久,但是就是不行,最近才找到了出路,所以多写两篇文章,把各种需要注意的地方,一步,一步写清楚,文章如果看不懂?那写出来的意义何在? ngrok与sunny都是匿名的好东西,此次攻击全程在kali下面完成,无需公网,并且使用的代理转发,都是一次性,So?下面开始 ...
文件上传漏洞靶场搭建
08-14
搭建一个文件上传漏洞靶场,你可以按照以下步骤进行操作: 1. 确定靶场环境:选择一个适合的服务器环境,例如使用虚拟机、Docker容器或云服务器等。 2. 安装Web服务器:根据你的喜好和需求,选择一个常见的Web服务器软件,如Apache、Nginx或IIS等,并按照官方文档进行安装配置。 3. 创建上传目录:在Web服务器的根目录下创建一个用于存储上传文件的目录,并确保该目录具有适当的权限。 4. 编写漏洞代码:编写一个简单的文件上传功能的代码,注意在代码中存在漏洞,例如未正确验证文件类型、没有限制文件大小或未对上传文件进行适当的过滤等。 5. 配置Web服务器:将你编写的漏洞代码部署到Web服务器上,并确保它可以被访问*** 7. 漏洞修复与防护:根据测试结果,修复漏洞并加强文件上传功能的安全性,例如添加文件类型验证、限制文件大小、重命名上传文件等。 请注意,在搭建文件上传漏洞靶场时,要确保只在安全的环境中进行操作,并遵循合法和道德的原则,不要用于非法目的。同时,建议在搭建之前详细学习文件上传漏洞的原理和防护方法,以确保能够正确理解和处理漏洞

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

刚子116

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值