Windows搭建漏洞环境

Windows搭建漏洞环境

这里涉及到WAMP、DVWA、XSS、sqli-labs

实验环境

  • windows主机
  • 没了,不需要什么环境 今天干的就是搭建环境

啥是WAMP?

WAMP是windows中Apache、MySQL和PHP环境 缩写为WAMP

搭建WAMP

首先我们需要先下载一个WAMP,这里有官网可以直接去官网下载 官网地址
进入官网以后点击Download 点击对应版本下的changelog 跳转页面后点击GetUpdates

下载完成以后 安装软件 打开软件 会闪出来一个cmd窗口 就没了
接着我们在浏览器中输入127.0.0.1 会出现一个Server Configuration界面

这样我们的WAMP就搭建完成了
下载完成后点击快捷方式只是弹出cmd的窗口接着就没了,这是正常的,不要像我一样以为没装好点半天

搭建DVWA漏洞环境

啥是DVWA?

DVWA是一款开源的***测试漏洞练习平台,其中内带XSS、SQL注入、文件上传、CSRF、暴力破解等测试环境

搭建DVWA

是不是还以为去官网下载DVWA就行了?
NO NO NO
我们还缺少集成环境 这里就需要php study了
先下载php study 官网地址
由于最新版的还在内测现在还没有开放下载,如果非要用最新版就在官网上加他们的QQ群,在群里下载最新版
不挑的话可以下载2018版本的使用,都一样没什么太大差别,新版的还在测试中,可能不太稳定
下载完成后,安装后打开

直接点击启动就可以了
测试环境是否成功,我们打开浏览器输入 127.0.0.1/phpmyadmin/
安装成功的话会出现登录界面

这里可以不用先登录,你非想登的话也不知道密码
不知道没关系,我们看一下就好了
打开DVWA的安装目录 在php-study\PHPTutorial\WWW\DVWA-master 下找到config文件
config下有一个 config.inc.php 用记事本打开

接下来 修改数据库的用户名、密码、数据库名

改完以后我们回到登录界面 开始登陆,账号root、密码root
登陆成功

现在应该来下载DVWA了,直接搜索DVWA
在官网下载的话,网页加载太慢了,可以选择其他的下载方式
下载完成后,将下载好的dvwa-master放到www目录下
注意放到php study下的www文件下不行的话 需要放到WAMP 下的www文件下

下面来验证DVWA是否能够访问
在浏览器中直接输入 127.0.0.1/setup.php 是出不来的,需要加上路径 127.0.0.1/dvwa-master/setup.php

看一下是否有显示红色的地方 比如这个allow_url_include:Disabled
我们在php study下搜索 ini.php配置文件 将文件中的 allow_url_include = Off 改为 =On

如果reCAPTCHA key:missing 找到DVWA下的 config/config.inc.php 如果不是这个命名的话改成这个名字
接着用记事本打开 找到 reCAPTCHA key 输入 6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg

如果有其他问题可以自行百度,基本上都会有解决的方法,这里就不一一细说了
解决完显红后 点击底部的Create/Reset Database 点击Login

我们使用默认账号登陆
Username:admin
Password:password
登陆以后 显示这样的界面

搭建SQL注入平台

啥是SQL注入平台?

sqli-labs 是一款学习SQL注入的开源平台,共有75种不同类型的注入

搭建sqli-labs

这个需要在GitHub上下载 下载地址
把下载好的sqli-labs文件放到 php-study的www文件下

现在我们需要回到数据库的登录界面,新建一个数据库security

点击右侧的security 进入数据库,选择上面的导入,选择下载好的sqli-labs-master下的sql-lab.sql 文件

我们进文件夹里看一下是否有sqli-labs-master文件夹
在浏览器里访问 127.0.0.1/sqli-labs-master/

点击 Setup/reset Database for labs 跳转到下个页面

完成!

搭建XSS测试平台

啥是XSS?

XSS测试平台是测试XSS漏洞获取Cookie并接受Web页面的平台,XSS可以做JS能做的所有事,包括但不限于窃取Cookie、钓鱼、修改网页代码、网站重定向等

搭建XSS

下载xsser.me源码,可以百度搜一个
进入数据库 新建一个xssplatform库 用来放置搭建XSS平台网站目录
建完数据库后,把下载好的XSS文件移动到php-study下的www目录下
修改XSS文件下的config.php文件中的 用户名、密码、数据库名、注册配置、url地址

进入xssplatfrom库 导入XSS文件夹中的xssplatfrom.sql文件
然后执行SQL语句

我们在xssplatfrom库中选择左侧的oc_user做图中的设置

还需要在XSS文件下创建静态文件,后缀名为.htaccess 这里设置为 xss .htaccess
在文件中写入

# apache 环境
<IFModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^([0-9a-zA-Z]{6})$ /xss/index.php?do=code&urlKey=$1 [L]
RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ /index.php?do=do&auth=$1&domain=$3 [L]
RewriteRule ^register/(.*?)$ /xss/index.php?do=register&key=$1 [L]?
RewriteRule ^register-validate/(.*?)$ /xss/index.php?do=register&act=validate&key=$1 [L]

rewrite "^/([0-9a-zA-Z]{6})$" /index.php?do=code&urlKey=$1 break;
rewrite "^/do/auth/(w+?)(/domain/([w.]+?))?$" /xss/index.php?do=do&auth=$1&domain=$3 break;
rewrite "^/register/(.*?)$" /index.php?do=register&key=$1 break;
rewrite "^/register-validate/(.*?)$" /index.php?do=register&act=validate&key=$1 break;
rewrite "^/login$" /index.php?do=login last;

现在我们来检测XSS是否搭建成功
在浏览器访问 127.0.0.1/xss/
看是否出来登录界面

点击右上角,注册账号
因为刚才在注册配置处将 invite改为了normal所以这里不用输邀请码,如果没改则需要邀请码才能注册
使用注册完的账号登陆

常见问题

为什么写127.0.0.1

我们在搭建环境中需要输入很多次IP地址,第一次做的时候还需要查自己的IP地址,如果间隔的时间长IP地址可能还会改变
所以用回环地址 127.0.0.1 输这个地址就相当于自身的IP地址

安装完WAMP打开闪一下就没了

在文中也提到了,就是闪一下cmd的框框就没了,在浏览器中访问127.0.0.1即可 出现hello world和Server Configuration都是可以的

关于phpstudy

我们安装完WAMP 也就是说我们现在有了Apache、MySQL、PHP的环境,但是需要一个集成软件把他们结合到一起,phpstudy就起到了这样的作用

安装DVWA时候显示Disabled

这个也在文中说过了,在多说一点
PHP function allow_url_include: disabled
显示这个就去 php-study\PHPTutorial下找到php文件下,在这个文件夹下搜索ini.php
找到所有的对应文件进行编辑,把allow_url_include=Off改为=allow_url_include=On
如果改完以后还是显示 Disabled 没关系 只要别的没问题 直接点最下面的按钮就行

reCAPTCHA key:missing
显示这个需要在配合文件中的这个选项处加段代码 可以在百度上搜

我只遇到这两个问题就先说这么多

关于sqli-labs 和 xsser.me下载

如果在此过程中有问题 或者说找不到下载的地方
可以找我拿网盘的资源

sqli-labs输入网址not found

not found应该就是输入路径的问题 或者说是phpstudy的事
如果对路径不确定的话就进文件夹看一下
不过一般都是 127.0.0.1/sqli-labs-master/
还有种情况今天遇到了
就是phpstudy的问题 有时候phpstudy的三个服务其中一个没起来都有可能造成访问不成功

关于下载文件放到哪个www目录

一共是有两个www文件夹 WAMP和phpstudy的
准确的答案我也不是很清楚
我是将sqli-labs XSS放到phpstudy下的www文件夹下
将DVWA放到了WAMP下的www文件

在访问 127.0.0.1/sqli-labs-master/sql-connections/setup-db.php的时候提示错误

提示的错误图片我也忘截图了 网页上大概是这个意思:
I:\DVWA\PHP-Study\php-study\PHPTutorial\WWW\sqli-labs-master\sql-connections error in sql-connections.php 6
大概是这样提示的,我检查了一下phpstudy 各种瞎点
最后查了一下发现是因为phpstudy中使用的php版本问题
只要在phpstudy中点切换版本 换一个高一个版本即可

phpstudy状态一直显示红色


如果你启动phpstudy后左边这两个还是红色的话
可能是你更改了phpstudy的安装位置造成的

访问xss登录界面的时候显示helloworld

出现这个的时候我也很懵
在访问xss登录的时候 点什么都是出来helloWord
后来搞了一会大概把问题的范围缩小了
可能是数据库xssplatfrom操作上有误
很有可能就是执行SQL语句和adminlevel1有错误
最简单的方法把xssplatfrom的库删了重新搞一遍就好了

.htaccess伪静态文件

这个文件中的内容可以百度搜到 但是有的不行
一定要注意这个文件中的行的末尾有的有/xss/index.php这个一定不要写错了,也可以写 /index.php 但是有时候不行 还是加上 /xss/吧

总结

为了研究SQL注入这块才来搭建这个漏洞环境的
看起来确实很简单,但是搭建起来会出现各种各样的错误
我端午节的时候搭这些个环境搭了6个多小时,各种各样的问题
今天写博客又顺着笔记做了一遍,又出现了意料之外的错误
只能根据错误提示一点一点摸索
希望我遇到的这些问题可以让跟我一样的初学者少走点弯路
如果文中有错误请及时联系我,我会及时更正

原文地址:https://blog.51cto.com/14309999/2408146

时间: 2024-10-17 15:38:29

Windows搭建漏洞环境的相关文章

Windows搭建wordpress环境

Windows搭建wordpress环境,以金山云大米 Wordpress环境的搭建所需要的条件:MYSQL.PHP.Wordpress. 需要准备的工具: xmapp(可在毒霸或其他软件中心找到) Wordpress(需要自行去官网下载,这里下载的是wordpress_4.2_beta2) 安全组需要添加的入站端口: TCP 21 http 80 通过控制台连接到服务器 安装与配置xampp 1.安装xampp 通过本地电脑软件中心(或其他途径)下载xmapp.wordpress,不要进行安装

windows搭建python环境之MySQLdb

windows 搭建python环境之MySQLdb 一.安装setuptools 下载 ez_setup.py 见附件,官方下载 d:D:\>ez_setup.py 二.安装 MySQLdb 直接下载exe直接安装,编代码编译也可以,除非你有很多时间. https://pypi.python.org/pypi/MySQL-python/1.2.4 三.测试模块 C:\Users\serven>PYTHONPython 2.7.11 (v2.7.11:6d1b6a68f775, Dec  5

Windows搭建RobotFramework环境(一)

Robot?Framework官网 http://robotframework.org/http://robotframework.org/ 安装说明 https://github.com/robotframework/robotframework/blob/master/INSTALL.rst 笔记本环境Win7系统 64 搭建运行环境: 1,Python 2.7 (不支持最新版Python3.6) 2,wxPython (Python的一个GUI 库,支撑Ride的运行库) 3,Robot

TestLink学习二:Windows搭建TestLink环境

环境准备: 搭建php5.4.39+apache2.2+mysq5.5.28l环境 (可参考http://www.cnblogs.com/yangxia-test/p/4414161.html) (注意:testlink1.9.13要求php5.4以上.) 一.Testlink环境搭建 下载你需要用的TestLink版本,本文的TestLink的版本是1.9.13,下载地址:http://sourceforge.net/projects/testlink/files/TestLink%201.9

vue windows搭建开发环境

系统要求: win10 64位 淘宝镜像:https://registry.npm.taobao.org 根路径:我的默认为 D:\ 以下安装我默认node安装目录为node-install , 百度出来的一般安装文件夹为nodejs ,请按照自己要求自己更改 一:windows安装node 和 npm node.js官网下载windows版本node安装包,点击安装 安装时选择安装路径为 根路径\node-install 安装完成后,通过cmd进入dos命令窗口,执行 node -v , np

docker漏洞环境搭建总结

1,安装docker Yum install docker 2,更换源 然后使用阿里的加速器 注册阿里云的开发者平台 https://dev.aliyun.com/search.html 选择右上角的管理中心 然后如图选择 执行如下命令安装docker-engine.docker-ce curl -sSL http://acs-public-mirror.oss-cn-hangzhou.aliyuncs.com/docker-engine/internet | sh - 依次执行如下命令使用Do

通过虚拟机搭建windows内核调试环境

今天我们来记录下通过虚拟机搭建windows内核调试环境. 这里是官方文档. 1.在虚拟机设置中为目标计算机创建命名管道 2.在目标计算机中开启调试 3.在windbg中输入目标计算机(虚拟机)的地址信息 4.在windbg菜单中点击[Debug|Break]开始内核调试.

windows禅道环境搭建

zentao官网的几个网址 http://www.zentao.net/ http://www.zentao.net/article-view-79863.html 搭建环境需要下载两个文件 1)禅道项目管理软件源码下载 http://sourceforge.net/projects/zentao/files/5.2.1/ZenTaoPMS.5.2.1.zip/download 2)windows一键安装包 http://sourceforge.net/projects/zentao/files

Windows搭建python开发环境,python入门到精通[一]

从大学开始玩python到现在参加工作,已经有5年了,现在的公司是一家.net的公司用到python的比较少,最近公司有新项目需要用到python,领导希望我来跟其他同事training,就有了这篇博客,打算将python的training弄成一个简易的python系列,供大家入门使用.Python语言自从20世纪90年代初诞生至今,它逐渐被广泛应用于处理系统管理任务和Web编程.今天就让我们来搭建一个python的开发环境,Windows搭建python开发环境.一切从"Hello world