WebGoat靶場系列—WebGoat安裝

• 2019 年 10 月 6 日
• 筆記

WebGoat是OWASP組織研製出的用於進行web漏洞實驗的Java靶場程式，用來說明web應用中存在的安全漏洞。WebGoat運行在帶有java虛擬機的平台之上，當前提供的訓練課程有30多個，其中包括：跨站點腳本攻擊（XSS）、訪問控制、執行緒安全、操作隱藏欄位、操縱參數、弱會話cookie、SQL盲注、數字型SQL注入、字元串型SQL注入、web服務、Open Authentication失效、危險的HTML注釋等等。WebGoat提供了一系列web安全學習的教程，某些課程也給出了影片演示，指導用戶利用這些漏洞進行攻擊。

GitHub地址為：

https://github.com/WebGoat/WebGoat

使用WebGoat的方式有很多,我們以常用的兩種方式進行安裝。

• Web Applications Project靶機
• Windows安裝

0X01 Web Applications Project

1. 下載OWASP https://sourceforge.net/projects/owaspbwa/files/

直接進入網站選擇需要的版本下載(以1.2.7版本為例)

2.下載/安裝虛擬機

虛擬機可以從以下鏈接下載,內附激活碼，安裝完成後輸入激活碼激活，然後設置成以管理員方式運行。

https://pan.baidu.com/s/1jRSm-6fgqk2_mghKpj4Xxg

提取碼：u1x6

3.將下載好的OWASP解壓縮,然後使用虛擬機打開並開機，用戶名root,密碼owaspbwa，默認的IP地址是會在開機的時候提示出來。

輸入提示的IP地址10.10.10.129，第一個就是我們需要的WebGoat。

點擊打開，按提示輸入帳號密碼,也就是我們的虛擬機開機的帳號密碼。至此，已經成功的安裝好了OWASP Broken Web Applications 虛擬機，當然裡邊不止包含WebGoat,還包含各種WEB滲透環境供大家選擇。

0X02 Windows下安裝WebGoat

1.下載安裝JDK，選擇適合自己系統版本的。

https://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html

下載安裝完成後，需要配置環境變數，電腦右鍵屬性—高級系統設置—環境變數。

新建系統環境變數,變數名為』JAVA_HOME』,變數值是jdk的安裝路徑

新建一個系統變數,名為「CLASSPATH」，變數值

』 .;%JAVA_HOME%libdt.jar;%JAVA_HOME%libtools.jar;』的系統變數，注意前面的點號和分號。

修改系統變數』Path』，然後點擊新建，添加「%JAVA_HOME%bin」和

「%JAVA_HOME%jrebin」兩個系統變數。

最後打開運行窗口,輸入CMD,打開命令行窗口輸入java, javac驗證安裝是否正常。

2. 安裝WebGoat

https://code.google.com/archive/p/webgoat/downloads

網盤：https://pan.baidu.com/s/1HcT0ArKd-7CYzYldvxySEg

提取碼：9gpn

解壓文件之後,進入tomcat文件夾,將文件路徑複製下來,然後設置環境變數(和Java環境變數設置方式相同)變數名為』CATALINA_BASE』和』CATALINA_HOME』,變數值都為tomcat所在文件的路徑。

接下來,編輯』Path』變數

然後以管理員身份運行命令提示符，進入到WebGoat中tomcat的bin目錄下,輸入service.bat install(我這裡已經安裝過了,所以會提示指定服務已存在)。

輸入startup,啟動tomcat。

然後進入WebGoat目錄,打開webgoat批處理文件

輸入http://localhost/WebGoat/attack即可彈出WebGoat的登陸介面,輸入帳號密碼均為guest，即進入WebGoat頁面。

作者：小英雄宋人頭

來源：Ms08067安全實驗室