搭建DVWA
DVWA是一款开源的渗透测试漏洞练习平台,内含XSS、SQL注入、文件上传、文件包含、CSRF和暴力破解等漏洞的测试环境。
可以在Docker Hub上搜索DVWA,有多个用户共享了搭建好的DVWA镜像(注意,有些镜像可能存在后门),此处选择镜像——sagikazarmark/dvwa,安装命令如下:
docker pull sagikazarmark/dvwadocker run -it -p 8001:80 sagikazarmark/dvwa
安装界面如图2-6所示。
图2-6
笔者的IP地址是10.211.55.6,所以通过访问10.211.55.6:8001(127.0.0.1也是本机IP地址,所以也可通过127.0.0.1:8001访问)就可以访问DVWA的界面,如图2-7所示。
图2-7
用户名和密码分别为admin和password,数据库的用户名和密码分别为root和p@ssw0rd。第一次登录平台后,需要单击“Create/Reset Database”按钮创建数据库,然后单击“login”按钮重新登录,之后就可以测试平台里的漏洞了,如图2-8所示。
图2-8
搭建SQLi-LABS
SQLi-LABS是一个学习SQL注入的开源平台,共有75种不同类型的注入,GitHub仓库为Audi-1/sqli-labs。此处选择Docker镜像——acgpiano/sqli-labs,安装命令如下:
docker pull acgpiano/sqli-labsdocker run -it -p 8002:80 acgpiano/sqli-labs
安装界面如图2-9所示。
图2-9
通过访问10.211.55.6:8002(127.0.0.1也是本机IP地址,所以也可通过127.0.0.1:8002访问),就可以访问SQLi-LABS的界面,如图2-10所示。
图2-10
然后单击“Setup/reset Database for labs”按钮创建数据库,就可以测试平台里的漏洞了,如图2-11所示。
图2-11
Ms08067安全实验室专注于网络安全知识的普及和培训,是专业的“图书出版+培训”的网络安全在线教育平台,专注于网络安全领域中高端人才培养。
平台已开设Web安全零基础就业,Web高级安全攻防进阶,红队实战攻防特训,Java代码安全审计,恶意代码分析与免杀实战,CTF基础实战特训营,网络安全应急响应,安全工具开发,AI与网络安全等系统培训课程。实验室出版安全图书《Web安全攻防:渗透测试实战指南》、《内网安全攻防:渗透测试实战指南》、《Python安全攻防:渗透测试实战指南》、《Java代码审计:入门篇》等。
扫描客服微信 获取更多课件+学习资料
