Vulhub是一個基於docker和docker-compose的漏洞環境集合,進入對應目錄並執行一條語句即可啓動一個全新的漏洞環境,讓漏洞復現變得更加簡單,讓安全研究者更加專注於漏洞原理本身
https://vulhub.org/#/docs/run/
安裝docker
curl -fsSL http://mirrors.zju.edu.cn/docker-ce/linux/debian/gpg | sudo apt-key add -
echo 'deb https://download.docker.com/linux/debian stretch stable' > /etc/apt/sources.list.d/docker.list
apt-get install apt-transport-https ca-certificates curl gnupg2 software-properties-common
apt-get update
apt-get install docker-ce docker-ce-cli containerd.io
docker 啓動
安裝docker-compose
下載Vulhub
安裝完成docker和docker-compose後,拉取Vulhub到本地任意目錄即可:
git clone https://github.com/vulhub/vulhub.git
啓動漏洞環境
在Vulhub中選擇某個環境,進入對應目錄。
如Flask服務端模板注入漏洞,我們進入flask/ssti目錄:
cd flask/ssti
直接執行如下命令,進行漏洞靶場的編譯和運行:
docker-compose build //編譯
docker-compose up -d //編譯運行
docker-compose up -d命令是包含了docker-compose build的。
如果更新了配置文件,你可以手工執行docker-compose build來重新編譯靶場環境
GOT IT!
******************************************************
小實驗小結,具體測試利用方式需根據具體實踐場景~