守听 发表于 2024-12-5 22:07:19

常见靶场的搭建

毛病靶场

<blockquote id="20241123113236-w0lvhdr">渗出测试(毛病发掘)切忌纸上谈兵,学习渗出测试(毛病发掘)知识的过程中,我们通常需要一个包含毛病的测试情况来进行训练。而在非授权情况下,对于网站进行渗出测试攻击,是触及法律法规的, 以是我们常常需要自己搭建一个毛病靶场,制止直接对公网非授权目标进行试。 毛病靶场,不仅可以帮助我们锻炼渗出测试本领、可以帮助我们分析毛病形成机理、更可以学习如何修复进步代码本领,同时也可以帮助我们检测各种各样毛病扫描器的效果。


[*]DVWA:一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供正当的情况,帮助web开发者更好的明白web应用安全防范的过程。
[*]sqli-labs:一个印度步伐员写的一个关于SQL注入的靶场,一共有65个关卡,其中关卡的类型有但不限于联合查询注入,报错注入,布尔盲注,延时盲注,POST注入,Cookie注入,WAF绕过......可以看出,涵盖的范围照旧很广的,对于我们初学注入的小白来说很友爱。
[*]upload-labs:使用php语言编写的,专门网络渗出测试和CTF中遇到的各种上传毛病的靶场。旨在帮助大家对上传毛病有一个全面的相识。现在一共21关,每一关都包含着差异上传方式。
情况设置


[*]打开官网 https://www.xp.cn/,选择 Windows版 的 phpstudy 客户端。
[*]找到 phpStudy 2018版​(推荐使用这个版本)进行下载并解压。
[*]找到解压后的文件,然后双击,会让你进行选择安装路径,可以根据自己的喜欢设置路径,但是要注意解压的目次不能包含汉字或者空格。
[*]出现提示:系统没有安装VC9,则需要安装,点击确定会主动打开浏览器进入一个网站,下载提示缺少的运行库即可,然后再启动。
情况测试

打开浏览器,访问 http://127.0.0.1,出现 "Hello World" 说明能乐成访问phpSudy启动的网站。
靶场搭建

DVWA搭建


[*] 访问 https://github.com/digininja/DVWA ,点击【Code】选择【Download ZIP】下载压缩包。
[*] 下载之后解压,然后把解压后的名为DVWA-master​的文件夹放到phpStudy的网站根目次,网站根目次为phpStudy安装的目次下的 PHPTutorial\WWW​ 目次。
[*] 编辑 DVWA-master\config​ 文件夹里的名为 config.inc.php.dist​ 的文件。
[*] 将该文件复制一份,并将 .dist 后缀删除掉。
[*] 使用文本编辑器或者记事本打开 config.inc.php 文件。
[*] 然后将 db_user 和 db_password 分别修改为 root ,假如你的MySQL端口也修改了,则 db_port 也需要修改为对应的端口,否则不用。
[*] 然后再编辑php的设置文件,在phpStudy里选择 别的选项菜单 里的 打开设置文件 ,选择 php-ini
[*] 打开后按 ctrl+f ​快捷键,查找 allow_url_include
[*] 将红框部门的Off修改为On,保存后点击 重启。
[*] 然后在浏览器输入 http://ip/DVWA-master/setup.php​ 进行访问(这里的ip即为你的IPV4地点,或者直接127.0.0.1),这里的 DVWA-master​ 为你的DVWA靶场的文件夹名字,假如你修改了名字,则浏览器访问也要修改。
[*] 进入乐成,点击下方的 Create / Reset Database 创建数据库。
[*] 创建完成后会主动跳转到登录页面,账号:admin,密码:password
PS:假如没有主动跳转可以手动访问:http://ip/DVWA-master/login.php​
sqli-labs搭建


[*] 访问 GitHub - Audi-1/sqli-labs: SQLI labs to test error based, Blind boolean based, Time based. 下载压缩包。
[*] 下载之后解压,然后把解压后的文件放到phpStudy的网站根目次,网站根目次为phpStudy安装的目次下的 PHPTutorial\WWW​ 目次。
[*] 编辑 sqli-labs-master\sql-connections​ 文件夹里的db-creds.inc 文件,将 $dbpass 的值修改为 root
[*] 然后在浏览器输入http://ip/sqli-labs-master/​进行访问(这里的ip即为你的IPV4地点,或者直接127.0.0.1),这里的 sqli-labs-master​ 为你的sqli-labs靶场的文件夹名字,假如你修改了名字,则浏览器访问也要修改。
[*] 然后点击 Setup/reset Database for labs​ 创建数据库。
[*] 出现以下信息说明数据库创建乐成。

https://i-blog.csdnimg.cn/direct/53f0b0e9e6374b82ac5e96dc9d7f4517.png
[*] 然后再重新访问靶场,访问箭头处的关卡。

https://i-blog.csdnimg.cn/direct/c630fd355f8c4e9fac5833546f53e80b.png
[*] 出现如下界面说明靶场安装设置完成。

https://i-blog.csdnimg.cn/direct/59ae150db7ae419ba6fe9bb4531b5faa.png

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页: [1]
查看完整版本: 常见靶场的搭建