前期准備
物理機:win10
虛擬機:kali 2021
網絡連接方式:橋接
一、簡介
Vulhub: 是一個面向大眾的開源漏洞靶場,無需docker知識,簡單執行兩條命令即可編譯、運行一個完整的漏洞靶場鏡像。讓漏洞復現變得更加簡單,讓對安全感興趣的人員更加專注於漏洞原理本身。
Docker: 是一個開源的應用容器引擎,讓開發者可以打包他們的應用以及依賴包到一個可移植的容器中,然后發布到任何流行的Linux機器上,也可以實現虛擬化,容器是完全使用沙箱機制,相互之間不會有任何接口。通過對應用組件的封裝、分發、部署、運行等生命周期的管理,達到應用組件級別的“一次封裝,到處運行”。這里應用組件,即可以是Web應用,也可以是一套數據庫服務,甚至是一個操作系統或編譯器。
Docker三大核心: 由鏡像(Image)、容器(Container)、倉庫(Repository)
安裝過程
1. 環境安裝
(1)先更新源
apt-get update
(2)安裝https協議,證書
apt-get install -y apt-transport-https ca-certificates
(3)安裝docker
apt-get install docker.io
(4)驗證docker
稍事等待,查看版docker本,是否安裝成功;
啟動docker信息;
查看開啟的環境;
docker -v
systemctl start docker
docker ps -a
(5)安裝pip3
apt-get install python3-pip
(6)pip安裝docker-compose
apt-get install docker-compose
(6)查看docker-compose版本
docker-compose -v
(7)配置docker加速器
vim /etc/docker/daemon.json
- 重新加載daemon.json配置
systemctl daemon-reload
- 重啟docker服務
systemctl restart docker
2. 下載vulhub
git下載vulhub
git clone https://gitee.com/puier/vulhub.git
查看docker目錄
3. 漏洞環境部署
隨機進入一個目錄,演示如何使用靶場
cd spring/CVE-2018-1273
編譯運行靶場
docker-compose build
docker-compose up -d
查看啟動環境,發現端口是8080
docker-compose ps
瀏覽器訪問,http://localhost:8080/users 即可進入漏洞頁面,環境部署成功,到這就證明靶場安裝好了;
移除環境
docker-compose down
4. 在主機上訪問靶場
因為我虛擬機使用的是橋接模式,所以很輕松就能ping通
因為我主機防火牆沒有關,所以虛擬機ping主機是ping不通的。。。
kali2021自帶apache2服務,所以直接在虛擬機上開啟apache2服務
systemctl restart apache2
apache服務開機自啟動
systemctl enable apache2
進入網站主目錄,修改默認網頁
vim /var/www/html/index.html
在物理機Chrome瀏覽器中輸入虛擬機IP地址,查看效果。
后面的步驟就很簡單了,大家快去試試吧。