多個仿真的漏洞靶機環境,包含30多個靶場
一、介紹
OWASP出具的一個集成在虛擬機中的靶機漏洞環境集合–BWA項目,免費、開源,裏面包含:
- 不同開發語言靶機環境(可以練習不同語言開發的靶機環境)
- 自動化測試工具
- 測試源碼分析工具
- 觀察網絡攻擊
- 測試waf類技術
- 脆弱的web仿真環境
所有靶場如下:(見到OWASPBWA的魅力了吧~~)
二、下載
最新版是15年的1.2版本:https://sourceforge.net/projects/owaspbwa/files/
三、安裝
》》解壓下載的壓縮包到指定目錄
》》打開一個VMware虛擬機
》》選擇剛纔解壓的路徑
》》開啓虛擬機
》》等待服務重啓
》》owaspbwa login登錄:賬戶密碼(root owaspbwa)
》》可輸入如下地址訪問
》》成功訪問
》》記得拍攝快照(防止誤操作進行還原)
四、技巧
4.1 虛擬機翻頁問題
關於命令行翻頁問題:(輸入命令上方的命令查看不到)
可以使用shift+PageUP/PageDown翻頁查看:
4.2 SSH遠程連接
爲了方便的執行命令查看頁面,可以通過遠程shell進行連接,默認用戶名、密碼:
root : owaspbwa
4.3 查看靶機詳情
》》可以通過點擊"綠色+" 查看每個靶機詳情(開發語言,版本,登錄用戶名、密碼……)
4.2 更改Mysql密碼
目的:爲了方便的查看每個靶機數據庫中的數據 / 清空存儲型xss,可通過設置root密碼後查看後臺密碼登陸
》》關閉mysql服務
》》跳過密碼驗證
mysqld_safe --skip-grant-tables &
》》登錄mysql,修改密碼
use mysql;
update user set password=password('root') where user='root';
flush privileges;
quit;
》》密碼修改成功