mysql靶场_基于WAVSEP的靶场搭建指南

最新推荐文章于 2022-09-01 16:29:00 发布
最新推荐文章于 2022-09-01 16:29:00 发布
阅读量286 收藏 1
点赞数
文章标签: mysql靶场
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35895485/article/details/113957239
版权

日常工作学习安全知识的过程中,时常需要有个练习环境;测试安全设备时,有时候也需要有个第三方的安全检测环境,这里我们就介绍一款叫做WAVSEP(WebApplication Vulnerability Scanner Evaluation Project )的漏洞检测环境或者称"靶场"。

WAVSEP 是一个包含漏洞的web应用程序,目的是帮助测试web应用漏洞扫描器的功能、质量和准确性。WAVSEP 收集了很多独特的包含漏洞的web页面,用于测试web应用程序扫描器的多种特特性。

目前WAVSEP支持的漏洞包括:Reflected XSS: 66 test cases, implemented in 64 jsp pages (GET & POST

Error Based SQL Injection: 80 test cases, implemented in 76 jsp pages (GET & POST )

Blind SQL Injection: 46 test cases, implemented in 44 jsp pages (GET & POST )

Time Based SQL Injection: 10 test cases, implemented in 10 jsp pages (GET & POST )

下载WAVSEP

源码下载需要自己打成WAR包

基础环境信息

c85ef34b98f7b4624c14bdfa99fa1f71.png

5a05ac6c241ed61793efa35cffb4c3ba.png

安装mysql、tomcatapt-get install tomcat6

apt-get install tomcat6-admin

apt-get install mysql-server-5.5

如果没有安装java,安装jdkapt-get installopenjdk-7-jdk

配置mysql密码

由于tomcat和mysql在同机,默认配置root@localhost 的密码就ok了

配置tomcat管理员账户

7debd1a2afceaa685bddd84039a2d1c5.png

编辑tomcat-user.xml文件即可,默认路径为/etc/tomcat6/tomcat-users.xml

增加如下内容:

登录tomcat管理后台并上传WAR包

5e358223f468fe8c2c89978b1e36eb38.png

f25b121bcd71c607a141ddba42867c58.png

启动WAVSEP

d677535116bc51326c46de7e5c029fbf.png

创建DB目录mkdir /var/lib/tomcat6/db

chown -R tomcat6:tomcat6 /var/lib/tomcat6/db/

初始化WAVSEP

访问初始化页面http://你的IP/wavsep/wavsep-install/install.jsp

65306ce73b8f3cb8b534243d82fe7d4f.png

输入你的本地数据库信息即可,安装成功会显示以下信息:

cbbc37a41e5be5f5dfa66e088d9fbde0.png

靶场安装完毕

默认地址为http://你的IP/wavsep/

42d5414f39bb5358fdb1dd244819eb22.png

HelloWorld

以WAVSEP演示的SQL注入漏洞为例:

使用sqlmap测试效果如下:

8cd0de59fb560730f3a281a483f7d54e.png

*本文原创作者:兜哥,未经许可禁止转载。

weixin_35895485
关注
DVWA靶场环境搭建_SQL注入模拟靶机
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
09-08 2万+
今天讲DVWA的两个重要方面:DVWA靶场环境搭建以及SQL注入模拟靶机。DVWA介绍:在近些年网络安全的高速发展中,初学者已经很难找到一个网站进行渗透了,曾几何时,一个漏洞,一个工具就可以在网上找到很多有漏洞的网站去体验,当然渗透一个未经授权的系统是非法的。因此,为了能够较为真实地学习Web渗透的各种技术,就需要找一个专门用于学习的Web演练平台,人们将这种用于练习渗透的平台称为“靶场”。DVWA可以进行SQL注入、XSS、CSRF、文件上传等漏洞的演练,由于该系统提供了多个安全演练级别,因此可以逐步地来
1013.Web安全攻防靶场wavsep
weixin_30550271的博客
01-15 201
概述 wavsep 是一款基于java的简单web攻防靶场,利用最简单的jsp技术进行实现。 GitHub地址为 https://github.com/sectooladdict/wavsep。 部署后首页截图 部署 从git上下载包后,倒入eclipse中,修复jdk版本号即可。wavsep使用的默认为jre7,tomcat6。 具体怎么将已有eclipse...
mysql靶场_搭建sqli靶场
weixin_30212009的博客
02-08 339
前言:sqli是一个印度程序员编写的,用来学习sql注入的一个游戏教程sqli这个靶场对php7.0是不兼容的(因为一些函数在php7中被删除了),所以搭建的时候要下载php5,如果你的系统要下载php5有点麻烦的话,可以看我文章的最后,那里有解决方法。正文:linux系统:解压缩到 /var/www/html/ 目录下(如果安装apache时改变了路径,就解压到改变的路径下)mv 文件名 /va...
Web漏洞靶场搭建-wavsep
YTANRA的博客
09-01 479
【摘要】 本文将以sectooladdict/wavsep: The Web Application Vulnerability Scanner Evaluation Project靶场为例来学习靶场搭建,结合漏洞扫描服务-华为云来发现存在的漏洞
php代码审计靶场,代码审计 | Wavsep靶场审计防御
weixin_39612023的博客
03-16 344
—————— 昨日回顾——————红日安全出品|转载请注明来源文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!(来源:红日安全)—————————————————(点击上方文字可直接阅读哦)1.1 基于wavsep靶场的jsp代码审计防御本次实验是基于wavsep进行设计,因此我们主要做了sql注入及xss跨站请求...
centos7搭建wavsep1.5版本靶机环境
黑面狐
09-06 3436
WAVSEP环境测试是安全测试环境,其中包含了很多漏洞环境,搭建以后作为公司产品扫描的靶机或者学习的训练靶场还是很不错的。 安装需要: MYSQL  /  JDK   /  TOMCAT   /wavsep1.5  安装包 一、MySQL安装 centos7上安装mysql还稍微有点麻烦,建议参考下面这个安装教程 http://www.cnblogs.com/starof/p/46800
Web漏洞渗透测试靶场(请勿在生产环境搭建)
最新发布
06-28
渗透测试 【作品名称】:Web漏洞渗透测试靶场 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。...注意: 请勿在生产环境搭建.
DVWA靶场搭建教程,网站搭建
09-06
【DVWA靶场搭建教程,网站搭建】 DVWA(Damn Vulnerable Web Application)是一个非常流行的在线安全学习平台,用于教育和测试网络安全技能。这个靶场包含了一系列不同级别的漏洞,如SQL注入、XSS攻击、文件包含等...
DVWA网络安全靶场搭建与练习 附攻略和在线版
01-02
《DVWA网络安全靶场搭建与练习 附攻略和在线版》 网络安全靶场是一种模拟真实网络环境,用于安全教育、训练和测试安全技能的平台。DVWA(Damn Vulnerable Web Application)是其中非常受欢迎的一个开源项目,专为...
PHP+MYSQL 注入靶场
04-26
靶场中的**字符型注入**是直接通过可见的SQL语句进行的,而**SQL盲注**则更加隐蔽,攻击者需要通过判断查询结果的真伪来获取信息,通常包括基于时间的盲注和基于错误的盲注。 **PHP**是一种广泛使用的服务器端脚本...
wavsep:Web应用程序漏洞扫描程序评估项目-开源
04-26
一个易受攻击的Web应用程序,旨在帮助评估Web应用程序漏洞扫描程序的功能,质量和准确性。 该评估平台包含一组独特的易受攻击的网页,可用于测试Web应用程序扫描程序的各种属性。 访问WAVSEP主页以了解更多信息:https://code.google.com/p/wavsep/该项目包括以下测试案例:路径遍历/ LFI:816个测试案例(GET和POST)远程文件包含(通过RFI的XSS) :108个测试用例(GET&POST)反映的XSS:66个测试用例,在64个jsp页面中实现(GET&POST)基于错误SQL注入:80个测试用例,在76个jsp页面中实现(GET&POST)盲目SQL注入:46测试用例,在44个jsp页面中实现(GET&POST)基于时间SQL注入:10个测试用例,在10个jsp页面中实现(GET&POST)
WAVSEP1.5版本war包
09-04
wavsep v1.5版本。 WAVSEP 是一个包含漏洞的web应用程序,目的是帮助测试web应用漏洞扫描器的功能、质量和准确性。WAVSEP 收集了很多独特的包含漏洞的web页面,用于测试web应用程序扫描器的多种特特性。
wavsep一个免费的扫描网站
02-19
wavsep 一个免费、开源的网站 用于渗透测试 用于测试扫描器功能 都非常好用。
Wavsep 1.5 版本
11-26
用于搭建Web安全靶场,基于tomcat、mysql、JavaScript搭建环境
Ubuntu14.04下部署wavsep
前方gail的博客
04-10 1069
wavsep 是一个包含漏洞的web应用程序,目的是帮助测试web应用漏洞扫描器的功能、质量和准确性。Wavsep收集了很多独特的包含漏洞的web页面,用于测试web应用程序扫描器的多种特特性。系统版本: ubuntu14.04部署wavsep之前,需要先在ubuntu上安装JSP环境: 1.安装javasudo apt-get -y install default-jdk java --ve
WOSA/XFS及SP综述
老骥伏枥的专栏
08-19 4813
前言:        写给ATM硬件和软件人员的无言歌。        希望对工作有所帮助,能够少花些时间在解决相关问题上,多些时间做自己喜欢做的事情。        一定意义上来讲,任何ATM从业人员都应该看下这篇文章。 正文:        随着符合WOSA/XFS规范的跨平台ATMC软件日益铺开,确实有很多人需要稍微深入的知道一些相关概念,但没有这样的文章来介绍,并且可能在很长的时间内,都不
wosa开发、sp开发、xfs开发
u011602666的专栏
12-18 7594
一.SPI函数 SPI函数有11个,分别是:https://blog.csdn.net/u011602666/article/details/39232991(合作联系地址) WFPOpen:该函数主要是建立一个XFSMANGER和指定sp之间连接,支持操作,并初始化该会话。 WFPGetInfo:该函数是获取该sp设备的状态信息。 WFPExecute:具体的设备工作指令都是在该函数...
centos7系统下 docker 环境搭建
02-12 205
运行环境:VMware Workstation Pro 在虚拟机中安装centos7系统, 选择最小安装, 网络连接方式选择的桥接(与宿主机在同一IP段)centos7一定要安装64位, docker目前不支持32位内核##看准了, 是在centos7系统下, centos6填了很多坑, 最终还是选择了用centos7系统 ## 准备工作因为是最小安装, 默认没有wget, 安装wg...
OWASP靶机搭建
weixin_30364325的博客
05-26 2069
owasp靶机应该是每个渗透入门乃至一些高手的一个试炼地之一,以下是我在靶机上搭建虚拟的方法。1.虚拟机安装在这里我用的是VMware14,靶机自然也是VM的。软件安装基本也是没有什么可讲的,安装过程中电脑重启为正常程序。下载链接【0ey4 】2.owasp靶机下载下载链接3.owasp靶机打开在第二步链接打开之后,将会下载到一个文件将其解压之后先放着,所放的盘建议有10G以上的内存。然...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值