WebGoat是运行在Java虚拟机的WEB漏洞实验靶场,可以提供包括跨站点脚本攻击(XSS),访问控制,线程安全,操作隐藏字段,操纵参数,弱会话cookie,SQL盲注,数字型SQL注入,字符串型SQL注入,web服务、Open Authentication失效,危险的HTML注释等多个漏洞练习.
使用WebGoat的方式有很多,我们以常用的两种方式进行安装:
OWASP Broken Web Applications Project靶机
Windows安装
- 使用OWAPS Broken Web Applications Project
- 下载OWASP(URL -- https://sourceforge.net/projects/owaspbwa/files/)
直接进入网站选择需要的版本下载(以1.2.7版本为例)
- 下载/安装虚拟机
虚拟机可以从以下链接下载,内附激活码
链接:https://pan.baidu.com/s/1jRSm-6fgqk2_mghKpj4Xxg
提取码:u1x6
- 安装,和安装其他Windows软件一样,点击下一步就可以
- 激活,安装完成时,会提示激活,此时许可证点击,然后输入激活码à点击输入
- 安装完成后,找到桌面快捷方式,右键找到属性然后设置成以管理员方式运行
- 接下来,将下载好的OWASP解压缩,然后使用虚拟机打开
然后就可以开机了,开机后,用户名是root,密码是owaspbwa,默认的IP地址是会在开机的时候提示出来
打开电脑的浏览器,输入提示的IP地址,第一个 就是WebGoat,
提示输入账号密码,就是我们的虚拟机开机的账号密码
至此,已经成功的安装好了OWASP Broken Web Applications 虚拟机,里边不止包含WebGoat,还包含各种WEB渗透环境供大家选择
- Windows下安装WebGoat
- 第一步,下载安装JDK
URL -- https://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html
打开安装程序,直接点击下一步安装就可以
安装完成后,需要配置环境变量,在此电脑右键属性à高级系统设置à环境变量
新建系统环境变量,变量名为’JAVA_HOME’,变量值是jdk的安装路径
再新建一个系统变量,名为“CLASSPATH”,变量值为
’ .;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar;’的系统变量,注意前面的点号和分号
修改系统变量’Path’,然后点击新建,添加“%JAVA_HOME%\bin”和
“%JAVA_HOME%\jre\bin”两个系统变量
最好打开运行窗口,输入CMD,打开命令行窗口输入java, javac验证安装是否正常
- 第二步,下载WebGoat
URL -- https://code.google.com/archive/p/webgoat/downloads
解压文件之后,进入tomcat文件夹,将文件路径复制下来,然后设置环境变量(和Java环境变量设置方式相同)变量名为’CATALINA_BASE’和’CATALINA_HOME’,变量值都为tomcat所在文件的路径
接下来,编辑’Path’变量
然后以管理员身份运行命令提示符
进入到WebGoat中tomcat的bin目录下,输入service.bat install(我这里已经安装过了,所以会提示指定服务已存在)
输入startup,启动tomcat
然后进入WebGoat目录,打开webgoat批处理文件
输入http://localhost/WebGoat/attack 即可弹出WebGoat的登陆界面,输入账号密码均为guest
之后即可进入WebGoat页面
- 下载WebGoat需要梯子,所以我将两个文件都打包到了网盘,大家可以从网盘下载
链接:https://pan.baidu.com/s/1HcT0ArKd-7CYzYldvxySEg
提取码:9gpn
欢迎关注微信公众号:Ms08067安全实验室
