WebGoat靶场系列---WebGoat安装

WebGoat是OWASP组织研制出的用于进行web漏洞实验的Java靶场程序，用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上，当前提供的训练课程有30多个，其中包括：跨站点脚本攻击（XSS）、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。WebGoat提供了一系列web安全学习的教程，某些课程也给出了视频演示，指导用户利用这些漏洞进行攻击。

GitHub地址为：

https://github.com/WebGoat/WebGoat

使用WebGoat的方式有很多,我们以常用的两种方式进行安装。

• Web Applications Project靶机
• Windows安装

0X01 Web Applications Project

1. 下载OWASP https://sourceforge.net/projects/owaspbwa/files/

直接进入网站选择需要的版本下载(以1.2.7版本为例)

2.下载/安装虚拟机

虚拟机可以从以下链接下载,内附激活码，安装完成后输入激活码激活，然后设置成以管理员方式运行。

https://pan.baidu.com/s/1jRSm-6fgqk2_mghKpj4Xxg

提取码：u1x6

3.将下载好的OWASP解压缩,然后使用虚拟机打开并开机，用户名root,密码owaspbwa，默认的IP地址是会在开机的时候提示出来。

输入提示的IP地址10.10.10.129，第一个就是我们需要的WebGoat。

点击打开，按提示输入账号密码,也就是我们的虚拟机开机的账号密码。至此，已经成功的安装好了OWASP Broken Web Applications 虚拟机，当然里边不止包含WebGoat,还包含各种WEB渗透环境供大家选择。

0X02 Windows下安装WebGoat

1.下载安装JDK，选择适合自己系统版本的。

https://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html

下载安装完成后，需要配置环境变量，电脑右键属性---高级系统设置---环境变量。

新建系统环境变量,变量名为’JAVA_HOME’,变量值是jdk的安装路径

新建一个系统变量,名为“CLASSPATH”，变量值

’ .;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar;’的系统变量，注意前面的点号和分号。

修改系统变量’Path’，然后点击新建，添加“%JAVA_HOME%\bin”和

“%JAVA_HOME%\jre\bin”两个系统变量。

最后打开运行窗口,输入CMD,打开命令行窗口输入java, javac验证安装是否正常。

2. 安装WebGoat

https://code.google.com/archive/p/webgoat/downloads

网盘：https://pan.baidu.com/s/1HcT0ArKd-7CYzYldvxySEg

提取码：9gpn

解压文件之后,进入tomcat文件夹,将文件路径复制下来,然后设置环境变量(和Java环境变量设置方式相同)变量名为’CATALINA_BASE’和’CATALINA_HOME’,变量值都为tomcat所在文件的路径。

接下来,编辑’Path’变量

然后以管理员身份运行命令提示符，进入到WebGoat中tomcat的bin目录下,输入service.bat install(我这里已经安装过了,所以会提示指定服务已存在)。

输入startup,启动tomcat。

然后进入WebGoat目录,打开webgoat批处理文件

输入http://localhost/WebGoat/attack即可弹出WebGoat的登陆界面,输入账号密码均为guest，即进入WebGoat页面。

作者：小英雄宋人头

来源：Ms08067安全实验室