专栏首页Ms08067安全实验室WebGoat靶场系列---WebGoat安装

WebGoat靶场系列---WebGoat安装

WebGoat是OWASP组织研制出的用于进行web漏洞实验的Java靶场程序,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。WebGoat提供了一系列web安全学习的教程,某些课程也给出了视频演示,指导用户利用这些漏洞进行攻击。

GitHub地址为:

https://github.com/WebGoat/WebGoat

使用WebGoat的方式有很多,我们以常用的两种方式进行安装。

  • Web Applications Project靶机
  • Windows安装

0X01 Web Applications Project

  1. 下载OWASP https://sourceforge.net/projects/owaspbwa/files/

直接进入网站选择需要的版本下载(以1.2.7版本为例)

2.下载/安装虚拟机

虚拟机可以从以下链接下载,内附激活码,安装完成后输入激活码激活,然后设置成以管理员方式运行。

https://pan.baidu.com/s/1jRSm-6fgqk2_mghKpj4Xxg

提取码:u1x6

3.将下载好的OWASP解压缩,然后使用虚拟机打开并开机,用户名root,密码owaspbwa,默认的IP地址是会在开机的时候提示出来。

输入提示的IP地址10.10.10.129,第一个就是我们需要的WebGoat。

点击打开,按提示输入账号密码,也就是我们的虚拟机开机的账号密码。至此,已经成功的安装好了OWASP Broken Web Applications 虚拟机,当然里边不止包含WebGoat,还包含各种WEB渗透环境供大家选择。

0X02 Windows下安装WebGoat

1.下载安装JDK,选择适合自己系统版本的。

https://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html

下载安装完成后,需要配置环境变量,电脑右键属性---高级系统设置---环境变量。

新建系统环境变量,变量名为’JAVA_HOME’,变量值是jdk的安装路径

新建一个系统变量,名为“CLASSPATH”,变量值

’ .;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar;’的系统变量,注意前面的点号和分号。

修改系统变量’Path’,然后点击新建,添加“%JAVA_HOME%\bin”和

“%JAVA_HOME%\jre\bin”两个系统变量。

最后打开运行窗口,输入CMD,打开命令行窗口输入java, javac验证安装是否正常。

2. 安装WebGoat

https://code.google.com/archive/p/webgoat/downloads

网盘:https://pan.baidu.com/s/1HcT0ArKd-7CYzYldvxySEg

提取码:9gpn

解压文件之后,进入tomcat文件夹,将文件路径复制下来,然后设置环境变量(和Java环境变量设置方式相同)变量名为’CATALINA_BASE’和’CATALINA_HOME’,变量值都为tomcat所在文件的路径。

接下来,编辑’Path’变量

然后以管理员身份运行命令提示符,进入到WebGoat中tomcat的bin目录下,输入service.bat install(我这里已经安装过了,所以会提示指定服务已存在)。

输入startup,启动tomcat。

然后进入WebGoat目录,打开webgoat批处理文件

输入http://localhost/WebGoat/attack即可弹出WebGoat的登陆界面,输入账号密码均为guest,即进入WebGoat页面。

作者:小英雄宋人头

来源:Ms08067安全实验室

本文分享自微信公众号 - Ms08067安全实验室(Ms08067_com),作者:徐哥

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-03-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Vulhub系列:Os-hackNos

    靶机链接: https://www.vulnhub.com/entry/hacknos-os-hacknos,401/

    徐焱
  • 深入浅出-XXE漏洞

    写这篇的主要目的是因为很多CTFer还有一些安全人员不是很清楚xxe漏洞,还有在面试当中,xxe漏洞也经常被问到,所以就写这么一篇文章来学习xxe漏洞. 本篇会...

    徐焱
  • 如何查看域用户登录的计算机

    在内网渗透的过程中,经常会遇到需要查看域用户登陆了哪些机器,目前我们收集整理了三种方法,给大家分享出来。

    徐焱
  • 你真的理解 Integer 的缓存问题吗?

    问原因则随口就说”Integer缓存了-128到127之间的整数对象“,为什么会缓存?还有其他答案?可能就不知道了。

    攻城狮的那点事
  • JAVA类Integer

    今天带来的是Integer,想必大家都不会陌生,下面会大家从属性、内部类、好玩的几个方法入手,来简单解析下Integer这个类。

    用户6055494
  • CodeForeces 25E (kmp)

    E. Test time limit per test2 seconds memory limit per test256 megabytes inp...

    ShenduCC
  • 按关键字升序排序—C++

    汐楓
  • P1796 汤姆斯的天堂梦_NOI导刊2010提高(05)

    题目描述 汤姆斯生活在一个等级为0的星球上。那里的环境极其恶劣,每天12小时的工作和成堆的垃圾让人忍无可忍。他向往着等级为N的星球上天堂般的生活。 有一些航班将...

    attack
  • 每日一题3

    可爱见见
  • 圆通wap分站memcache没做ip限制

    漏洞证明: 获取memcache的信息,敏感的是version而已 获取item 获取key 然后其实是可以查询到数据的,用get <key>就行,可是我这里木...

    逸鹏

扫码关注云+社区

领取腾讯云代金券