我们做渗透测试的不可以随便拿别的网站进行渗透测试,未经授权的渗透测试也算是违法行为,读者可自行搜索相关法律。因此我们需要自己搭建web渗透测试的环境。这里推荐使用OWASP提供的WebGoat、DVWA和Mutillidae来作为渗透测试环境,读者可以自行搜索这些软件的介绍。其实WebGoat、DVWA和Mutillidae都包含在OWASPBWA这个套件中,可以直接下载一个OWASPBWA虚拟机即可,在本文的最后将会介绍安装。
安装WebGoat需要Java运行环境和Tomcat,因此我们可以先下载并安装Java,然后在安装Tomcat,最后下载WebGoat运行。这里我们直接下载Java、Tomcat和WebGoat集成环境免安装包即可,下载WebGoat-OWASP_Standard-5.2.zip,点击下载,
由于此zip文件中包含有Tomcat网站服务器,所有不必另外安装,解压下载的zip文件如图,其中有两个批处理文件,webgoat.bat默认打开80端口作为服务端口,另一个则是打开8080端口作为服务端口,读者可以自行修改端口
这里我用8080端口,双击第二个批处理文件,如图,出现Server startup in xxx ms表示启动完成
打开浏览器,输入:http://localhost:8080/WebGoat/attack,输入账号和密码都为guest,登录后即可使用
可以在中文官网查看中文使用文档,如果想要让其他主机也可以访问此测试网站进行练习,可以修改tomcat/conf下的server_80.xml和server_8080.xml中的Connector address="127.0.0.1"为本机IP地址,若要修改端口,修改后面的8080为想要的端口即可,如图
安装DVWA需要PHP和MySQL环境,可以使用wampserver集成PHP和MySQL环境的软件,也可以使用其他PHP和MySQL环境,或者直接安装DVWA的LiveCD版本,读者可以自行搜索,这里我用的wampserver集成环境Wamp的搭建与DVWA的安装,也可以在WebGoat安装完的基础上,直接安装到Tomcat环境下,但是需要自行安装PHP和MySQL并配置PHP到tomcat,过程比较复杂读者可自行搜索tomcat+php安装与配置,安装完之后在DVWA官网下载DVWA-master.zip,然后解压在任何位置,为了方便我这里把解压后的DVWA-master文件夹重命名为DVWA,如图
然后在tomcat/conf/Catalinalocalhost下新建一个dvwa.xml文件,写入<Context docBase="D:DVWA" debug="0" privileged="true"></Context>如图,保存即可
然后将D:DVWAconfig下的config.inc.php.dist文件重命名为config.inc.php,修改里面的MySQL的root用户密码(可参考Wamp的搭建与DVWA的安装),运行WebGoat下的批处理就可以同时开启webgoat和dvwa,访问http://localhost:8080/dvwa就可以打开DVWA页面,输入admin,password即可登录,此方法理论上是可以的,过程太过复杂没有实践,推荐用Wamp的搭建与DVWA的安装,简单快速,如果使用OWASPBWA自带的DVWA只需在安装好OWASPBWA虚拟机之后直接输入虚拟机IP地址加dvwa,如:http://192.168.41.147/dvwa,默认账号和密码都是admin
下载owaspbwa,由于这是一组充满漏洞的测试网站,所有我建议下载虚拟机版本的打开下载页面,或者下载网页的目录,然后挂载到有PHP和MySQL环境的网站,并设置MySQL,打开下载页面
这里我们选择虚拟机版本的,下载好之后解压为OWASP,建议设置此虚拟机网络模式为NAT或者Host only,使用VMware打开解压的文件即可,需要等待几分钟,然后会告诉你登录的用户名和密码及访问的URL,按提示登录即可,如图
输入URL即可访问OWASPBWA首页,如图
除了DVWA,sqli-labs也是一个练习SQL注入的好工具,并且配置简单,只需在GitHub下载https://github.com/Audi-1/sqli-labs,然后解压复制到wampserver下的www目录下,然后打开文件夹,在sql-connections目录下找到db-creds.inc,编辑内容如下,填写数据库root用户的密码
然后在开启wampserver的情况下直接输入url:http://localhost/sqli-labs即可
现在,可以开始我们的WEB渗透之旅了!