0x00 靶場介紹
bwapp是一款非常好用的漏洞演示平台,包含有100多個漏洞。開源的php應用后台Mysql數據庫。
0x01 安裝
BWAPP有兩種安裝方式,一種是單獨安裝,需部署在Apache+PHP+Mysql環境下;一種是虛擬機導入,下載后直接用VMWare打開即可。
下面分別介紹兩種方式的安裝方法。
1. 單獨安裝
由於需要部署在Apache+PHP+Mysql環境下,我們可以直接使用集成環境,這里筆者使用的是PHPStudy,PHPStudy的安裝及使用在此就不做介紹了。
(1)下載鏈接:
https://sourceforge.net/projects/bwapp/files/latest/download
(2)安裝步驟:
A.下載后解壓文件,將文件放在WWW目錄下
B.在admin/settings.php下更改數據庫連接設置
同時也能在文件下方看到默認登錄賬戶名及密碼,可按需更改
C.運行PHPStudy,然后在瀏覽器打開http://127.0.0.1/bWAPP/install.php
點擊here創建數據庫
D.安裝成功,進入靶場主界面
(3)使用方法:
賬戶名及密碼:bee/bug
可在右上方選擇漏洞和安全級別進行測試
2. 虛擬機安裝
虛擬機版本能夠測試的漏洞更多,比如破殼漏洞,心臟滴血漏洞等在單獨安裝的環境下無法測試。
(1)下載鏈接:
https://sourceforge.net/projects/bwapp/files/bee-box/bee-box_v1.6.7z/download
(2)安裝步驟
下載后解壓,打開VMWare,在打開虛擬機選項中進入bee-box文件選擇bee-box.vmx即可。選擇NAT模式,開啟虛擬機即可進入主界面
(3)使用方法:
登錄:bee/bug;安全等級可選;低-中-高
方法一:直接在bee-box虛擬機中使用,點擊bWAPP-Start即可進入登陸頁面,登錄后在右上方找到XXE漏洞,選擇測試等級
方法二:查看虛擬機IP,在物理機瀏覽器訪問http://虛擬機IP地址/bWAPP/login.php進行登錄,登錄后在右上方找到XXE漏洞,選擇測試等級
