WebGoat靶场系列—WebGoat安装

释放双眼,带上耳机,听听看~!

Ms08067 招募志同道合的朋友

引言 从最早的绿色兵团、白细胞、XCON,很多大牛引领了一个团队,也因团队成就了自身。 很多安全新人在漫长的学习之路上经常会遇到一些提升的瓶颈,毕竟现在安全领域的研究越来越细化,仅就前端攻击的手段就有XSS、XFS、CSRF等等。单打独斗,已经越来越无法在

WebGoatOWASP组织研制出的用于进行web漏洞实验的Java靶场程序,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookieSQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。WebGoat提供了一系列web安全学习的教程,某些课程也给出了视频演示,指导用户利用这些漏洞进行攻击。

GitHub地址为:

https://github.com/WebGoat/WebGoat

使用WebGoat的方式有很多,我们以常用的两种方式进行安装。

  • Web Applications Project靶机

  • Windows安装

0X01 Web Applications Project

  1. 下载OWASP

    https://sourceforge.net/projects/owaspbwa/files/

直接进入网站选择需要的版本下载(1.2.7版本为例)

    

    2.下载/安装虚拟机

虚拟机可以从以下链接下载,内附激活码,安装完成后输入激活码激活,然后设置成以管理员方式运行

https://pan.baidu.com/s/1jRSm-6fgqk2_mghKpj4Xxg

提取码:u1x6

    3.将下载好的OWASP解压缩,然后使用虚拟机打开并开机,用户名root,密码owaspbwa,默认的IP地址是会在开机的时候提示出来。

输入提示的IP地址10.10.10.129,第一个就是我们需要的WebGoat。

点击打开,按提示输入账号密码,也就是我们的虚拟机开机的账号密码。至此,已经成功的安装好了OWASP Broken Web Applications 虚拟机,当然里边不止包含WebGoat,还包含各种WEB渗透环境供大家选择。

0X02  Windows下安装WebGoat


1.下载安装JDK,选择适合自己系统版本的。

https://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html

下载安装完成后,需要配置环境变量,电脑右键属性—高级系统设置—环境变量。

新建系统环境变量,变量名为’JAVA_HOME’,变量值是jdk的安装路径

新建一个系统变量,名为“CLASSPATH”,变量值

’ .;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar;’的系统变量,注意前面的点号和分号。

修改系统变量’Path’,然后点击新建,添加“%JAVA_HOME%\bin”

《Web安全攻防》配套视频之XSS实验平台搭建

《Web安全攻防-渗透测试实战指南》配套视频 第三期来啦! 本期视频内容为 第2章 搭建漏洞环境及实战 2.5 搭建XSS测试平台 如果学习有疑问, 可以登录官网: https://www.ms08067.com 书籍介绍 《Web安全攻防-渗透测试实战指南》,第一版次于2018年7月出版,上

“%JAVA_HOME%\jre\bin”两个系统变量。

最后打开运行窗口,输入CMD,打开命令行窗口输入java, javac验证安装是否正常。

2. 安装WebGoat

https://code.google.com/archive/p/webgoat/downloads

网盘:https://pan.baidu.com/s/1HcT0ArKd-7CYzYldvxySEg

提取码:9gpn

解压文件之后,进入tomcat文件夹,将文件路径复制下来,然后设置环境变量(Java环境变量设置方式相同)变量名为’CATALINA_BASE’’CATALINA_HOME’,变量值都为tomcat所在文件的路径。

接下来,编辑’Path’变量

然后以管理员身份运行命令提示符,进入到WebGoattomcatbin目录下,输入service.bat install(我这里已经安装过了,所以会提示指定服务已存在)

输入startup,启动tomcat

然后进入WebGoat目录,打开webgoat批处理文件

输入http://localhost/WebGoat/attack即可弹出WebGoat的登陆界面,输入账号密码均为guest,即进入WebGoat页面。

作者:小英雄宋人头


来源:Ms08067安全实验室


往期回顾


1.【HTB系列】靶机Access的渗透测试详解

2.SSRF漏洞利用与getshell实战(精选)

3.RPO漏洞深入剖析与利用

界世的你当

作你的肩膀



 ms08067安全实验室

本文源自微信公众号:Ms08067安全实验室

CobaltStrike手册系列-安装及功能介绍篇

1.1   什么是CobaltStrike? Cobalt Strike是渗透测试软件,旨在执行有针对性的攻击并模仿高级威胁参与者的后期攻击行为。本节介绍Cobalt Strike的安装及功能介绍。本手册的其余部分详细讨论了这些功能。 图1.后利用的过程 通过侦察目标开始你的攻击。Cobalt

人已赞赏
安全工具

数据库遭遇比特币勒索的一次入侵分析

2019-10-14 20:19:33

安全工具

《Web安全攻防》配套视频之XSS实验平台搭建

2019-10-14 20:19:42

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索