Web 漏洞训练平台学习笔记(webgoat & juice shop)

Web 漏洞训练平台

实验目的

  • 了解常见 Web 漏洞训练平台;
  • 了解 常见 Web 漏洞的基本原理;
  • 掌握 OWASP Top 10 及常见 Web 高危漏洞的漏洞检测、漏洞利用和漏洞修复方法;

实验环境

  • WebGoat / Juice shop
  • kali 2021.2

实验要求

  • 每个实验环境完成不少于 5 种不同漏洞类型的漏洞利用练习
  • (可选)使用不同于官方教程中的漏洞利用方法完成目标漏洞利用练习
  • (可选)最大化 漏洞利用效果实验
  • (可选)定位缺陷代码
  • (可选)尝试从源代码层面修复漏洞

WebGoat环境准备

  • 在kali上装docker建议看看这个,黄大的实验准备,免得像我一样因为课程之前下了其他版本的docker而死活搞不定compose up

    Linux谁都能参一脚搞得不同发行版之间的包乱糟糟的,以前都是听人吐槽,谁知道有天落自己头上了

  • 查看docker状态sudo systemctl status docker

  • 安装docker与docker-compose apt-get update && apt get install docker.io python3-pip pip3 install docker-compose

  • 新建工作目录并切换至工作目录mkdir workspace && cd workspace/

  • 开启docker服务 systemctl start docker

  • 下载课程所需漏洞练习环境 git clone https://github.com/c4pr1c3/ctf-games.git --recursive

  • 切换到相应目录下cd ctf-games/

  • 单独更新子模块 git submodule init && git submodule update

  • 启动 webgoat 系列服务 cd owasp/webgoat/ && docker-compose up -d

友情提示,之前要是像我一样是傻乎乎的不管啥版本号不版本的就随便乱装了docker,可以用sudo apt-get remove docker docker-engine docker.io卸载docker再重装……据我重装的信息显示,随便搞的和好好整的这两者之间差了150MB左右

再友情提示,别用阿里云的源 (¬_¬ ) 中科大或者清华的都行,不然你会在compose up的时候卡在3d725b7d6111这个包上死活下不了就是不停retry

  • 查看当前容器状态是否正常 docker ps,确保是healthy

Web 漏洞训练平台学习笔记(webgoat & juice shop)_第1张图片

http://127.0.0.1:8087/WebGoat/login for webgoat 7.1

http://127.0.0.1:8088/WebGoat/login for webgoat 8

sudo lsof -i 4 -P -n -L [| portcode_like_8080]查看当前端口占用情况[或特定端口占用情况]

关于firefox原生代理管理不能走到burpsuite上的问题,在后面会有讲解。谁知道搞个环境就花了我几个小时呢…真的是能踩的坑都踩完了


实验过程

WebGoat 8.0

General
HTTP Basics
  • 提示还是挺明显的,问题是这是POST还是GET报文以及magic number,F12查看报文,发现是POST,数字则直接在前端搜索一下magic就好了

Web 漏洞训练平台学习笔记(webgoat & juice shop)_第2张图片

Web 漏洞训练平台学习笔记(webgoat & juice shop)_第3张图片
Web 漏洞训练平台学习笔记(webgoat & juice shop)_第4张图片

​ 点击"Go!",提示你已经解决了这个问题

看到这

你可能感兴趣的:(前端,学习,docker,安全)