网络安全靶场搭建与练习 附攻略和在线版

常见web漏洞靶场

DVWA

图片[1]-网络安全靶场搭建与练习 附攻略和在线版-FancyPig's blog
图片[2]-网络安全靶场搭建与练习 附攻略和在线版-FancyPig's blog

安装过程中需要将config目录下的config.inc.php.dist文件名称修改为config.inc.php,同时配置好里面的数据库

$_DVWA[ 'db_server' ]   = '127.0.0.1';
$_DVWA[ 'db_database' ] = 'dvwa';#数据库名称
$_DVWA[ 'db_user' ]     = 'dvwa';#数据库用户名
$_DVWA[ 'db_password' ] = 'p@ssw0rd';#数据库密码
$_DVWA[ 'db_port'] = '3306';

除此之外,还需要配置好recaptcha密钥接口(里面有一个实验就是针对Google验证码的),这里考虑到很多人都不会注册Google账户,便提供一个自己创建好的。

当然你也可以自己去申请,申请地址https://www.google.com/recaptcha/admin

$_DVWA[ 'recaptcha_public_key' ]  = '6LcWNpMaAAAAAJqJcQ7Eea_y_Hh4DpoM-ieBw8ED';
$_DVWA[ 'recaptcha_private_key' ] = '6LcWNpMaAAAAAAwdvSB8szoR-oNW-ZBnpZVFUIlV';

数据库都配置好了之后,需要修改你的php.ini配置文件

如果是宝塔面板的话,你可以直接在软件商店>运行环境>php-7.4管理>配置文件里搜索allow_url,然后将Off修改为On

allow_url_include = On
图片[3]-网络安全靶场搭建与练习 附攻略和在线版-FancyPig's blog

以上操作都完成后,便可进入页面进行安装了

图片[4]-网络安全靶场搭建与练习 附攻略和在线版-FancyPig's blog

安装完成后默认账户为admin密码为password

视频讲解

学习笔记

靶场攻略之前写过很多了,这里简单做个汇总,欢迎补充!

这里也提供一下来自互联网的内容,如果有需要欢迎参考

https://www.freebuf.com/articles/web/260074.html

在线版来自第三方,随时可能失效

pikachu

图片[5]-网络安全靶场搭建与练习 附攻略和在线版-FancyPig's blog
图片[6]-网络安全靶场搭建与练习 附攻略和在线版-FancyPig's blog

inc目录下修改config.inc.php

//定义数据库连接参数
define('DBHOST', '127.0.0.1');//将localhost或者127.0.0.1修改为数据库服务器的地址
define('DBUSER', 'root');//将root修改为连接mysql的用户名
define('DBPW', '');//将root修改为连接mysql的密码,如果改了还是连接不上,请先手动连接下你的数据库,确保数据库服务没问题在说!
define('DBNAME', 'pikachu');//自定义,建议不修改
define('DBPORT', '3306');//将3306修改为mysql的连接端口,默认tcp3306

除此之外还需要修改pkxss/inc目录下的config.inc.php

//定义数据库连接参数
define('DBHOST', 'localhost');//将localhost修改为数据库服务器的地址
define('DBUSER', 'root');//将root修改为连接mysql的用户名
define('DBPW', 'root');//将root修改为连接mysql的密码
define('DBNAME', 'pkxss');//自定义,建议不修改
define('DBPORT', '3306');//将3306修改为mysql的连接端口,默认tcp3306

修改完成后,分别进行安装

入口分别为

  • install.php
  • pkxss/pkxss_install.php
图片[7]-网络安全靶场搭建与练习 附攻略和在线版-FancyPig's blog
图片[8]-网络安全靶场搭建与练习 附攻略和在线版-FancyPig's blog

之前只针对其中一部分做过攻略

这里也提供一些来自互联网的内容,如果有需要欢迎参考

Pikachu靶场通关

https://c1everf0x.top/2020/09/18/pikachu%E9%9D%B6%E5%9C%BA%E9%80%9A%E5%85%B3/

在线版

在线版来自第三方,随时可能失效

119.8.53.189/

https://212.58.129.150:9999/

http://101.200.90.170:8889/

http://101.34.223.150/

http://1.116.165.3:8080/

图片[9]-网络安全靶场搭建与练习 附攻略和在线版-FancyPig's blog

获取更多同款靶场

使用Fofa获取其他在线靶场方式

https://fofa.so/result?qbase64=ZmlkPSJaa1NvcXRzdmY5ZmNwR25lUlVQSjJ3PT0i

fid="ZkSoqtsvf9fcpGneRUPJ2w=="

大概可以搜索到70多条

图片[10]-网络安全靶场搭建与练习 附攻略和在线版-FancyPig's blog

bWAPP

图片[11]-网络安全靶场搭建与练习 附攻略和在线版-FancyPig's blog
图片[12]-网络安全靶场搭建与练习 附攻略和在线版-FancyPig's blog

选择要训练的内容

图片[13]-网络安全靶场搭建与练习 附攻略和在线版-FancyPig's blog

配置bWAPP/admin目录下的settings.php

$db_server = "localhost";
$db_username = "root";#数据库用户名(这里要用root账户创建)
$db_password = "password";#数据库密码
$db_name = "bWAPP";#数据库名称

安装页面

入口:bWAPP/install.php

图片[14]-网络安全靶场搭建与练习 附攻略和在线版-FancyPig's blog

然后点击here进行安装即可,安装完成后你可以自行注册账户

入口:bWAPP/user_new.php

不勾选E-mail activation(因为我们刚才没有配置邮件发送的功能)

图片[15]-网络安全靶场搭建与练习 附攻略和在线版-FancyPig's blog

参考互联网内容

bwapp通关(全完结)

https://blog.csdn.net/hxhxhxhxx/article/details/108896596

uploads-labs

图片[16]-网络安全靶场搭建与练习 附攻略和在线版-FancyPig's blog
比较人性化的是每一关都增加了提示、源码显示、清空上传文件的功能
图片[17]-网络安全靶场搭建与练习 附攻略和在线版-FancyPig's blog

可以说是相当人性化了,而且很方便

图片[18]-网络安全靶场搭建与练习 附攻略和在线版-FancyPig's blog
图片[19]-网络安全靶场搭建与练习 附攻略和在线版-FancyPig's blog

上传完即可使用,无需配置数据库

参考互联网内容

Upload-labs 1-21关 靶场通关攻略(全网最全最完整)

https://blog.csdn.net/weixin_47598409/article/details/115050869

upload-labs通关

https://www.freebuf.com/articles/web/267810.html

在线版

在线版来自第三方,随时可能失效

http://45.32.54.250/

http://1.117.221.87/

获取更多同款靶场

使用Fofa获取更多靶场

https://fofa.so/result?qbase64=ZmlkPSJMTXJwczdtdlZrL2ZaYnRXeW83ekxBPT0i

fid="LMrps7mvVk/fZbtWyo7zLA=="

大概有20多条吧

图片[20]-网络安全靶场搭建与练习 附攻略和在线版-FancyPig's blog

XSS lab

图片[21]-网络安全靶场搭建与练习 附攻略和在线版-FancyPig's blog
图片[22]-网络安全靶场搭建与练习 附攻略和在线版-FancyPig's blog

直接将文件上传网站即可使用,无需安装数据库

cve漏洞靶场

vulhub

由于web漏洞靶场相对比较固定,刷完基本上就没什么用了,因此,这里推荐一些cve漏洞靶场供大家学习使用。

这里以centos环境为例,简单讲解一下安装过程。

Vulfocus

Vulfocus 是一个漏洞集成平台,将漏洞环境 docker 镜像,放入即可使用,开箱即用。

特性

  • 启动:一键漏洞环境启动,方便简单。
  • 自带 Flag 功能:每次启动 flag 都会自动更新,明确漏洞是否利用成功。
  • 带有计分功能也可适用于相关安全人员能力的考核。
  • 兼容 VulhubVulapps 中所有漏洞镜像。
  • 支持可视化编排漏洞环境

快速安装指南

其他靶场

使用Fofa搜索还发现了很多有趣的靶场

  • 掌控安全学院实战靶场

http://inject1.lab.aqlab.cn:8005/

http://service.aqlab.cn:8005/

http://kali01.lab.aqlab.cn:8005/

http://service.aqlab.cn:8004/

http://oovw8022.ia.aqlab.cn:8004/

  • 掌控封神台

https://hack.zkaq.cn/battle

© 版权声明
THE END
喜欢就支持一下吧
点赞29赞赏
分享
评论 共19条

请登录后发表评论