当前位置: 首页 > news >正文

常见靶场的搭建

news 2025/7/8 13:02:14

漏洞靶场

渗透测试(漏洞挖掘)切忌纸上谈兵,学习渗透测试(漏洞挖掘)知识的过程中,我们通常需要一个包含漏洞的测试环境来进行训练。而在非授权情况下,对于网站进行渗透测试攻击,是触及法律法规的, 所以我们常常需要自己搭建一个漏洞靶场,避免直接对公网非授权目标进行试。 漏洞靶场,不仅可以帮助我们锻炼渗透测试能力、可以帮助我们分析漏洞形成机理、更可以学习如何修复提高代码能力,同时也可以帮助我们检测各种各样漏洞扫描器的效果。

  • DVWA:一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。
  • sqli-labs:一个印度程序员写的一个关于SQL注入的靶场,一共有65个关卡,其中关卡的类型有但不限于联合查询注入,报错注入,布尔盲注,延时盲注,POST注入,Cookie注入,WAF绕过......可以看出,涵盖的范围还是很广的,对于我们初学注入的小白来说很友好。
  • upload-labs:使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共21关,每一关都包含着不同上传方式。

环境配置

  1. 打开官网 https://www.xp.cn/,选择 Windows版 的 phpstudy 客户端。
  2. 找到 phpStudy 2018版​(推荐使用这个版本)进行下载并解压。
  3. 找到解压后的文件,然后双击,会让你进行选择安装路径,可以根据自己的喜好设置路径,但是要注意解压的目录不能包含汉字或者空格。
  4. 出现提示:系统没有安装VC9,则需要安装,点击确定会自动打开浏览器进入一个网站,下载提示缺少的运行库即可,然后再启动。

环境测试

打开浏览器,访问 http://127.0.0.1,出现 "Hello World" 说明能成功访问phpSudy启动的网站。

靶场搭建

DVWA搭建

  1. 访问 https://github.com/digininja/DVWA ,点击【Code】选择【Download ZIP】下载压缩包。

  2. 下载之后解压,然后把解压后的名为DVWA-master​的文件夹放到phpStudy的网站根目录,网站根目录为phpStudy安装的目录下的 PHPTutorial\WWW​ 目录。

  3. 编辑 DVWA-master\config​ 文件夹里的名为 config.inc.php.dist​ 的文件。

  4. 将该文件复制一份,并将 .dist 后缀删除掉。

  5. 使用文本编辑器或者记事本打开 config.inc.php 文件。

  6. 然后将 db_user 和 db_password 分别修改为 root ,如果你的MySQL端口也修改了,则 db_port 也需要修改为对应的端口,否则不用。

  7. 然后再编辑php的配置文件,在phpStudy里选择 其它选项菜单 里的 打开配置文件 ,选择 php-ini

  8. 打开后按 ctrl+f ​快捷键,查找 allow_url_include

  9. 将红框部分的Off修改为On,保存后点击 重启。

  10. 然后在浏览器输入 http://ip/DVWA-master/setup.php​ 进行访问(这里的ip即为你的IPV4地址,或者直接127.0.0.1),这里的 DVWA-master​ 为你的DVWA靶场的文件夹名字,如果你修改了名字,则浏览器访问也要修改。

  11. 进入成功,点击下方的 Create / Reset Database 创建数据库。

  12. 创建完成后会自动跳转到登录页面,账号:admin,密码:password

    PS:如果没有自动跳转可以手动访问:http://ip/DVWA-master/login.php​

sqli-labs搭建

  1. 访问 GitHub - Audi-1/sqli-labs: SQLI labs to test error based, Blind boolean based, Time based. 下载压缩包。

  2. 下载之后解压,然后把解压后的文件放到phpStudy的网站根目录,网站根目录为phpStudy安装的目录下的 PHPTutorial\WWW​ 目录。

  3. 编辑 sqli-labs-master\sql-connections​ 文件夹里的db-creds.inc 文件,将 $dbpass 的值修改为 root

  4. 然后在浏览器输入http://ip/sqli-labs-master/​进行访问(这里的ip即为你的IPV4地址,或者直接127.0.0.1),这里的 sqli-labs-master​ 为你的sqli-labs靶场的文件夹名字,如果你修改了名字,则浏览器访问也要修改。

  5. 然后点击 Setup/reset Database for labs​ 创建数据库。

  6. 出现以下信息说明数据库创建成功。


  7. 然后再重新访问靶场,访问箭头处的关卡。


  8. 出现如下界面说明靶场安装配置完成。


http://www.lryc.cn/news/495734.html

相关文章:

  • [MacOS] [kubernetes] MacOS玩转虚拟化最佳实践
  • HarmonyOS:@Provide装饰器和@Consume装饰器:与后代组件双向同步
  • git 上传代码时报错
  • 判断1456789876541是否为素数,是输出“是素数“,不是则输出“不是素数“
  • Flutter:封装发送验证码组件,注册页使用获取验证码并传递控制器和验证码类型
  • 亚马逊IP关联是什么?
  • Electron + vue3 打包之后不能跳转路由
  • docker安装clickhouse副本集群
  • vue超过三行显示省略号和查看更多按钮
  • 【软考速通笔记】系统架构设计师⑤——软件工程基础知识
  • Qt 详解QRubberBand
  • HTB:Love[WriteUP]
  • 【RabbitMQ 消息列队测试之:调试技巧】
  • Ubuntu FTP服务器的权限设置
  • @Pattern (用于校验字符串是否符合特定正则表达式)
  • 5G学习笔记之随机接入
  • webGL入门教程_03GLSL、OpenGL、WebGL 定义及关系
  • git基本操作说明
  • 微知-git如何添加空目录的几种方式?(.gitkeep, githook, gitconfig)
  • MySQL 数据库学习教程一:开启数据库探索之旅
  • Vue+Elementui el-tree树只能选择子节点并且支持检索
  • Lumos学习王佩丰Excel第十八讲:LOOKUP函数与数组
  • Git的基本使用操作
  • 【C语言】结构体嵌套
  • PDF view | Chrome PDF Viewer |Chromium PDF Viewer等指纹修改
  • maxun爬虫工具docker搭建
  • JAVAWeb之javascript学习
  • vue3中是如何实现双向数据绑定的
  • JavaScript事件机制详解
  • k8s运行运行pod报错超出文件描述符表限制