WEB安全环境搭建

已于 2023-09-21 16:33:34 修改
阅读量346 收藏 1
点赞数
分类专栏: 渗透测试 WEB 文章标签: web安全 安全
于 2023-09-06 16:42:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56378389/article/details/132718683
版权

注:此文章为WEB安全SQL注入这篇文章之前一篇,是WEB第一篇,当时忘发了,补发一下。

WAMP搭建靶场

  • W:windows
  • A:apache
  • M:mysql,mariadb
  • P:php

下载phpstudy

https://www.xp.cn/download.html

  • phpstudy简介(小皮面板)

是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用

phpstudy傻瓜式的一键启动,一键切换环境(nginx+apahce),一键切换PHP版本(5.1-7.3),无需懂任何代码与手动配置。

为服务器环境提供最优配置的解决方案,支持Web端管理,一键创建网站、FTP、数据库、SSL;安全管理,计划任务,文件管理,PHP多版本共存及切换;自带LNMPLAMP

安装phpstudy

  1. 下载完成后为压缩包phpStudy_64.zip
  2. 解压后,双击执行exe安装程序,进入程序安装界面,选择自定义选项,更改安装目录,选择立即安装,等待安装完成即可,安装完成后自动启动,进入小皮面板

搭建 DVWA 靶场

下载DVWA靶场

https://github.com/digininja/DVWA

https://github.com/digininja/DVWA/archive/master.zip

安装DVWA靶场

解压DVWA靶场压缩包,到phpstudyWWW目录,重命名为dvwa

启动phpstudy

切换默认WNMPWAMP,点击启动,可以看到apachemysql服务都已成功启动.

访问DVWA靶场

打开浏览器,访问如下链接地址:

http://127.0.0.1/dvwa/

页面内容提示:DVWA系统错误-未找到配置文件。复制config/config.inc.php.dist文件为config/config.inc.php`并根据您的环境进行配置。

修改配置文件

找到dvwa目录下的config目录,复制config.inc.php.distconfig.inc.php

用记事本或其他编辑器,打开config.inc.php配置文件,修改内容如下后保存

$_DVWA = array();
$_DVWA[ 'db_server' ] = '127.0.0.1';
$_DVWA[ 'db_database' ] = 'dvwa';
$_DVWA[ 'db_user' ] = 'root';
$_DVWA[ 'db_password' ] = 'root';

再次访问靶场地址:http://127.0.0.1/dvwa/ ,成功进入setup安装界面

安装配置DVWA

  1. 启用allow_url_include

allow_url_fopen 参数(只影响RFI,不影响LFI)

简介:是否允许将URL(HTTP,HTTPS等)作为文件打开处理

allow_url_include 参数(只影响RFI,不影响LFI)

简介:是否允许 includeI() 和 require() 函数包含URL(HTTP,HTTPS等)作为文件处理

在小皮面板找到设置,配置文件,php.ini,双击php7.3.4nts打开php.ini配置文件,找到并修改allow_url_include的默认值OffOn,重启apache服务

  1. 创建数据库

再次访问靶场地址:http://127.0.0.1/dvwa/,点击Create / Reset Database,无红色标识,表示dvwa安装成功,稍等几秒钟,自动跳转进入靶场登录界面,输入默认账号admin密码password,即可成功登录

搭建 sqli-labs 靶场

项目地址:https://github.com/Audi-1/sqli-labs

  1. 下载源码
  • 下载ZIP

https://github.com/Audi-1/sqli-labs/archive/refs/heads/master.zip

  1. 将下载的源码,解压到phpstudyweb根目录WWW下,重命名为sqlilabs
  2. 进入sqlilabs/sql-connections目录下,记事本或其他编辑器打开db-creds.inc文件,修改为如下内容
<?php

//give your mysql connection username n password
Sdbuser = 'root';
$dbpass = 'root';
$dbname = "security";
Shost = 'localhost';
Sdbname1 = "challenges";

?>
  1. 访问靶场,点击 Setup/reset Database for labs 初始化数据库

http://127.0.0.1/sqlilabs/

出现如下报错:

Welcome  Dhakkan

SETTING UP THE DATABASE SCHEMA AND POPULATING DATA IN TABLES:

Fatal error:Uncaught Error:Call to undefined function mysql_connect(in C:\phpstudy_pro\WWWsqlilabs\sql-connections\setup-db.php:29 Stack trace:#0 (main)thrown in C:\phpstudy_pro\wWW\sqlilabs\sql-connections\setup-db.php on line 29

打开小皮面板,网站,管理,php版本,更多版本,选择php5.5.45nts安装,并选择此版本,然后刷新网站页面,如果没有报错,数据库初始化成功,至此,sqli-labs靶场搭建成功

搭建 upload-labs 靶场

项目地址:https://github.com/c0ny1/upload-labs

  1. 下载源码

https://github.com/c0ny1/upload-labs/archive/refs/heads/master.zip

  1. 将下载的源码,解压到phpstudyweb根目录WWW下,重命名为uploadlabs
  2. 访问靶场

http://127.0.0.1/uploadlabs/

LAMP搭建DVWA靶场

  • L:LINUX
  • A:apache
  • M:mysql,mariadb
  • P:php

Docker 搭建 LAMP

LAMP镜像仓库:

https://hub.docker.com/r/mattrayner/lamp

https://hub.docker.com/r/mattrayner/lamp/tags

Docker下载LAMP镜像

这里以llamp:1604-php5-base为例

sudo docker pull mattrayner/lamp:1604-php5-base

Docker启动LAMP容器

# 创建 /root/dvwa 文件夹
mkdir -p /root/dvwa/app

# 进入 /root/dvwa 文件夹
cd /root/dvwa

# 启动容器
sudo docker run -dit -p "8088:80" -v ${PWD}/app:/app
mattrayner/lamp:1604-php5-base

下载 DVWA 源码压缩包

# 进入app文件夹
cd /root/dvwa/app

# 下载dvwa源码压缩包
wget https://github.com/digininja/DVWA/archive/master.zip

# 解压
unzip master.zip

# 修改文件夹名字为dvwa
mv DVWA-master dvwa

修改 DVWA 配置文件

# 进入配置文件夹
cd /root/dvwa/app/dvwa/config

# 复制并重命名配置文件
cp config.inc.php.dist config.inc.php

# vim 编辑配置文件
vim config.inc.php

修改配置文件内容如下:

$_DVWA = array();
$_DVWA[ 'db_server' ] = '127.0.0.1';
$_DVWA[ 'db_database' ] = 'dvwa';
$_DVWA[ 'db_user' ] = 'root';
$_DVWA[ 'db_password' ] = '';
$_DVWA[ 'db_port'] = '3306';

修改 PHP 配置文件

启用all_url_include

  • 进入容器
docker exec -it CONTAINER_ID bash

注意命令中的 CONTAINER_ID 为启动的 LAMP 容器的 ID 值

  • 修改容器中PHP配置文件
# 进入配置文件目录
cd /etc/php/5.6/apache2

# vim 编辑php.ini配置文件
vim php.ini

找到并修改 allow_url_include 的默认值 Off 为 On

  • 重启容器中的 apache2 服务
service apache2 restart

配置文件夹权限

修改文件夹权限

cd /root/dvwa/app/
chmod -R 777 dvwa/hackable/uploads/
chmod -R 777 dvwa/external/phpids/0.6/lib/IDS/tmp/
chmod -R 777 dvwa/config

在容器的数据库中创建dvwa数据库:

sudo docker exec CONTAINER_ID mysql -uroot -e "create database dvwa"

注意命令中的CONTAINER_ID为启动的LAMP容器的ID

DVWA登录默认账号密码:admin / password

docker-compose

vim docker-compose.yml

version: '2'
services:
	dvwa:
		image: mattrayner/lamp:1604-php5-base
		volumes:
			- ./dvwa:/app
		expose:
			- "80"
		ports:
			- "8089:80"
		hostname: dvwa
		restart: always

docker-compose up -d

LAMP搭建 sqli-labs

搜索镜像

docker search sqli-labs

拉取镜像

docker pull acgpiano/sqli-labs

启动容器

docker run -dit -p 8081:80 acgpiano/sqli-labs

成功访问,表示搭建成功

LAMP搭建 upload-labs

搜索镜像

docker search upload-labs

拉取镜像

docker pull c0ny1/upload-labs

启动容器

docker run -dit -p 8082:80 c0ny1/upload-labs
Sillage777
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql labs的搭建,浏览器127.0.0.1报错
weixin_44766712的博客
03-22 2210
phpStudy安装 浏览器打开http://127.0.0.1/sqlilabs/sql-connections/setup-db.php时报错如下:`SETTING UP THE DATABASE SCHEMA AND POPULATING DATA IN TABLES: Warning: mysql_connect(): Access denied for user ‘root’@‘localhost’ (using password: YES) in E:\phpStudy\WWW\sqlilabs
使用Rust搭建Web开发环境
最新发布
06-26
使用Rust搭建Web开发环境是一个涉及多个步骤的过程,以下是一个清晰的介绍,包含了必要的步骤和参考信息: 一、Rust语言简介 Rust是一种系统编程语言,由Mozilla公司的Graydon Hoare在2006年发起。它的设计目标...
sqlilabs(SQL注入)小白通基础通关笔记(专针对小白)(第三关Less-3)
u013630181的博客
07-05 304
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; charset=ut
搭建sqli-labs初始化数据库时遇到的问题
2301_76515622的博客
05-17 1507
其实导致这个问题的根本原因在于php的版本过高,只需要将php设置为低版本就可以了,没有就点击更多版本找一个就可以。我自己也在网上查阅了资料,刚开始还以为是自己的数据库配置得有问题,后来检查过后发现并没有问题。相信很多同学都遇到了这样的情况。
安装sqli-labs时,mysql 8 报错解决
tianshuhao521的博客
09-06 1950
1、打卡mysql 8安装目录下的data文件夹,找到my.ini。由错误可知是mysql 8的编码问题。着重看标红的地方,授权有问题。
windows下部署sqli-labs.rar报错解决方案
weixin_51721614的博客
01-13 1859
@sqli-labs.rar安装部署报错 安装好php之后,设置完毕打开网站初始化报错Fatal error: Uncaught Error: Call to undefined function mysql_connect() in,解决办法将php改成5.x版本即可,亲测有效。
web项目环境搭建小测试
06-27
在IT行业中,Web项目环境搭建是开发者们必不可少的技能之一,尤其对于初学者而言,理解并实践这个过程至关重要。在本案例中,我们关注的是一个简单的"web项目环境搭建小测试",它主要依赖于Struts2框架。Struts2是一...
web安全文档1
08-08
Web安全】是互联网技术领域中的一个重要分支,主要关注的是防止网络应用遭受各种攻击,保护用户数据的安全。在本文档中,我们将围绕基于Java开发的学生成绩管理应用程序的Web安全进行讨论,涵盖项目的概述、功能...
搭建WEB应用环境下载资料
08-16
本篇文章将深入探讨如何搭建一个基本的Web应用环境,以及为何这个过程对后续开发至关重要。 首先,我们要理解什么是Web应用环境。它通常包括三个主要部分:Web服务器、应用服务器和数据库。Web服务器负责处理HTTP...
SQLi Labs实验指导书
11-02
SQLi Labs 通关过程 最好的文档,1-37课解答过程,言简意赅。大佬对不住,我把你的辛苦拿来换币了
linux环境搭建包.rar
10-21
在Linux环境中搭建Web服务器是一项基础且重要的IT技能,尤其对于开发者和系统管理员而言。本教程主要聚焦于使用CentOS 7.8版本进行这一过程,其中包含了搭建、配置以及二进制安装包的相关资料。以下是关于这个过程的...
sql手动注入常用步骤
热门推荐
StriveBen的博客
03-22 1万+
前言 提起sql注入,相信大家并不陌生,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,从而达到和服务器进行直接的交互.有可能存在SQL注入的数据库类型可以是Mysql,Mssql,Oracle,Postgress等等 预备知识 对mysql数据库有一定了解;对基本的sql语句有所了解; 对url编码有了解:空格=‘%...
sql_lab靶场搭建以及存在的一些问题
qq_59020256的博客
12-19 732
2.如果不是这个错误,那么便查看数据库密码是否添加,或者是否与MySQL密码一致。小皮数据库里面的root密码与db-creds.inc里面的密码要保持一致。把小皮改到5.3.29版本如果没有可以直接点击更多版本进行选择安装。打开sql-connections下面的db-creds.inc。打开sql-connections下面的db-creds.inc。这样就表示sql_lab环境搭建成功,可以使用。当密码一致和版本正确后则会成功导入数据库。如果密码不正确则会出现这个错误。当版本不对时则会暴出这种错误。
MYSQL注入(Welcome Dhakkan)
qq_43613772的博客
07-19 8124
第一步打开phpStudy,点击启动 打开浏览器输入要登录的题目网址, 、在网址后面输?id=1看一下效果和在数字1后面加一个符号’比较一下 从上述错误当中,我们可以看到提交到 sql 中的 1’在经过 sql 语句构造后形成 ‘1’’ LIMIT 0,1, 多加了一个 ’ 。我们可以尝试一下后面加尝试 ‘or 1=1–+ 尝试成功,正常返回数据。 接下来对前面的数据进行排序,利用的是order ...
Php对接ilab,部署sqlilab
weixin_42525387的博客
04-09 421
MySQL已经安装Apache是yum安装的查看httpd包是否可用:yum list | grep httpd安装Apacheyum install httpd开启Apachesystemctl start httpd测试Apache启动成功文件路径说明:服务目录 /etc/httpd主配置文件 /etc/httpd/conf/httpd.conf网站数据目录 /var/www/ht...
windows下sqli-labs环境搭建遇到的问题
Darren_Thj的博客
10-02 7132
windows下sqli-labs环境搭建遇到的问题 细节决定成败 使用到的软件: phpstudy:http://www.phpstudy.net/(最新版) sqli-labs:https://github.com/Audi-1/sqli-labs 遇到了问题如下 SETTING UP THE DATABASE SCHEMA AND POPULATING DATA IN TABLES: 长时...
【20171028早】ubuntu 16.04 LTS 安装php遇到的问题
weixin_30924239的博客
10-28 713
背景: 10月28日的一个早上,老黑一如往常地练习,我测试不破坏,当时我找到sqli-libs 游戏,可是我没有立即开始,于是,奇妙的事情就由php开始了。ubuntu16.04安装相关环境 apache,php,mysql (参考网站),一切都很顺利,但是在启动创建sqli-libs需要的secure数据库时出错了。 问题截图: 应该点击“Setup/rese...
搭建Android开发环境与iOS开发环境.pptx
11-12
搭建Android和iOS开发环境是移动应用开发中的重要步骤。Android系统是当前智能手机市场的主流,而iOS系统也是备受推崇的操作系统之一。在搭建Android开发环境时,需要准备相应的开发工具和SDK,并熟悉Android Studio...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值