Vulhub是一个基于docker和docker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身
https://vulhub.org/#/docs/run/
安装docker
curl -fsSL http://mirrors.zju.edu.cn/docker-ce/linux/debian/gpg | sudo apt-key add -
echo 'deb https://download.docker.com/linux/debian stretch stable' > /etc/apt/sources.list.d/docker.list
apt-get install apt-transport-https ca-certificates curl gnupg2 software-properties-common
apt-get update
apt-get install docker-ce docker-ce-cli containerd.io
docker 启动
安装docker-compose
下载Vulhub
安装完成docker和docker-compose后,拉取Vulhub到本地任意目录即可:
git clone https://github.com/vulhub/vulhub.git
启动漏洞环境
在Vulhub中选择某个环境,进入对应目录。
如Flask服务端模板注入漏洞,我们进入flask/ssti目录:
cd flask/ssti
直接执行如下命令,进行漏洞靶场的编译和运行:
docker-compose build //编译
docker-compose up -d //编译运行
docker-compose up -d命令是包含了docker-compose build的。
如果更新了配置文件,你可以手工执行docker-compose build来重新编译靶场环境
GOT IT!
******************************************************
小实验小结,具体测试利用方式需根据具体实践场景~