渗透测试靶场环境搭建

  1. 1.DVWA靶场

DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,包含了OWASP TOP10的所有攻击漏洞的练习环境,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,同时帮助Web开发者更好地理解Web应用安全防范的过程。

DVWA一共包含了十个攻击模块,具体如下:

  1. Brute Force(暴力破解):此模块主要测试应用对暴力破解攻击的防护能力。
  2. Command Injection(命令行注入):攻击者可以通过此模块向应用注入恶意命令,从而执行未授权的系统命令。
  3. CSRF(跨站请求伪造):此模块用于测试应用对跨站请求伪造攻击的防护能力。
  4. File Inclusion(文件包含):攻击者可以通过此模块利用文件包含漏洞来访问或执行未授权的文件。
  5. File Upload(文件上传):此模块用于测试应用对文件上传漏洞的防护能力,攻击者可能会尝试上传恶意文件。
  6. Insecure CAPTCHA(不安全的验证码):此模块展示了如何绕过不安全的验证码机制,使攻击者能够绕过验证步骤。
  7. SQL Injection(SQL注入):攻击者可以通过此模块向应用注入恶意SQL代码,从而获取敏感数据或执行未授权的操作。
  8. SQL Injection(Blind)(SQL盲注):此模块用于测试应用对盲SQL注入攻击的防护能力,攻击者可以在不知道具体数据库结构的情况下获取敏感数据。
  9. XSS(Reflected)(反射型跨站脚本):此模块用于测试应用对反射型跨站脚本攻击的防护能力,攻击者可以在用户的浏览器中执行恶意脚本。
  10. XSS(Stored)(存储型跨站脚本):此模块用于测试应用对存储型跨站脚本攻击的防护能力,攻击者可以将恶意脚本存储在服务器上,并在用户访问受影响的页面时执行。

此外,DVWA的代码分为四种安全级别:Low、Medium、High和Impossible。用户可以通过比较不同级别的代码,学习如何发现和修复安全漏洞。

DVWA靶场搭建

从dvwa.co.uk中下载DVWA安装包,提前下载安装好PHPStudy(安装方法自行查找):

  1. 启动PHPStudy服务
  2. 将dvwa文件解压复制到目录下phpstudy\www目录下。
  3. 将"dvwa/config"目录下的文件config.inc.php.dist复制一份,并重新命名为“config.inc.php”,并将password设置为“root”port设置为“3306”
  4. 在浏览器上访问127.0.0.1/DVWA-master,进入到安装界面
  5. 点击执行(Create)会自己转跳输入账户密码登录。默认admin,password
  6. OK了

2.Pikachu靶场

Pikachu靶场搭建

Pikachu靶场是一个特意设计用于安全研究和练习的Web应用程序。它包含了多个从基础到高级的Web安全漏洞,如SQL注入、XSS(跨站脚本)、CSRF(跨站请求伪造)等,为安全研究人员和渗透测试者提供了一个安全的实验环境。为了搭建Pikachu靶场,用户需要配合集成环境,如XAMPP。在XAMPP中,用户需要启用Apache和MySQL服务。然后,从GitHub上下载Pikachu的源代码,并将其转移到XAMPP文件下的htdocs目录,然后进行解压。在Pikachu的配置文件中,用户需要将其数据库连接设置为实际的数据库连接。可以使用集成软件PHPStudy等搭建。

  1. 从github上获取pikachu的安装包,启动PHP study
  2. 编辑pikachu\inc\config.inc.php文件编辑DBPW
  3. 输入127.0.0.1/pikachu进入点击初始化
  4. 就好了

3.介绍几个CTF实战演练平台

CTF(Capture The Flag)竞赛是网络安全领域的一种竞技活动,旨在测试参与者的网络安全技能。根据不同的竞赛目标和挑战形式,CTF竞赛通常可以分为以下几种模式:

  1. 解题模式(Jeopardy):这是最常见的CTF竞赛模式。参赛队伍需要在规定的时间内解决主办方提供的网络安全技术挑战题目。题目类型涵盖逆向工程、漏洞挖掘与利用、Web渗透、密码学、取证、隐写、安全编程等多个方面。解题的数量和正确性将决定参赛队伍的排名和得分。
  2. 攻防模式(Attack-Defense):在这种模式下,参赛队伍在网络空间中相互攻击和防守。队伍需要挖掘并利用网络服务漏洞来攻击对手的服务以获取分数,同时需要修补自身服务的漏洞以避免被攻击而失分。攻防模式能够实时反映比赛情况,最终通过得分直接分出胜负,因此具有高度的竞争性和观赏性。
  3. 混合模式(Mix):这种模式结合了解题模式和攻防模式的特点。参赛队伍首先通过解题获取初始分数,然后通过攻防对抗进行得分增减的零和游戏。最终,以得分高低决定胜负。
  4. King of the Hill模式:这是一种团队竞赛模式,参赛队伍需要尝试控制和维护一个中央服务器或系统。其他队伍则试图从控制队伍手中夺取控制权。这种模式主要测试队伍的攻击和防御技能。
  5. 实战演练模式:有些CTF竞赛是为了模拟现实世界中的网络攻击和防御情景。参赛者需要在模拟环境中执行任务,如入侵某个系统、恢复受损的服务器或调查网络攻击等。

1.i春秋:

  • i春秋是中国网络安全领域知名的技术社区和CTF平台。它提供了丰富的网络安全学习资源,包括在线课程、技术文章、安全工具等。

2.攻防世界:

  • 攻防世界是一个集网络安全学习、比赛、实战演练为一体的综合性平台。它提供了大量的网络安全挑战题目,涵盖了Web安全、二进制安全、密码学等多个领域

3.BugkuCTF:

  • BugkuCTF是一个专注于Web安全的CTF平台。它提供了大量的Web安全挑战题目,包括SQL注入、XSS攻击、文件上传漏洞等。
  • 平台注重题目的实用性和难度梯度,适合从初学者到高级安全从业者不同水平的用户。

4.BuuCTF:

  • BuuCTF是另一个知名的CTF平台,涵盖了多种竞赛模式,如解题模式、攻防模式等。
  • 平台提供了丰富的挑战题目和实战演练环境,涵盖了网络安全领域的多个方面,如Web安全、二进制安全、密码学等。
  • BuuCTF还注重社区建设,为用户提供了交流和学习的平台,促进了网络安全领域的技术发展和知识共享。

 


 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/714836.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Mybatis批量更新对象数据的两种方法

说明:遇到一次需要批量修改对象的场景。传递一个对象集合,需要根据对象ID批量修改数据库数据,使用的是MyBatis框架。查了一些资料,总结出两种实现方式。 创建Demo 首先,创建一个简单的Demo; &#xff08…

SpringBoot+Jwt+Redis

大致流程: 参照: 史上最全面的基于JWT token登陆验证_完整的基于jwt的登陆认证-CSDN博客 springboot整合JWTRedis_springboot jwt redis-CSDN博客

鸿蒙Harmony应用开发—ArkTS声明式开发(通用属性:浮层)

设置组件的遮罩文本。 说明: 从API Version 7开始支持。后续版本如有新增内容,则采用上角标单独标记该内容的起始版本。 overlay overlay(value: string | CustomBuilder, options?: { align?: Alignment; offset?: { x?: number; y?: number } })…

剑指offer面试题28:对称的二叉树

#试题28:对称的二叉树 题目: 请设计一个函数判断一棵二叉树是否 轴对称 。 示例 1: 输入:root [6,7,7,8,9,9,8] 输出:true 解释:从图中可看出树是轴对称的。示例 2: 输入:root …

【合宙ESP32C3 Arduino开发】第四篇:TFT_eSPI 驱动 合宙Air101 ST7735 LCD 显示普通时钟,模块化编程

忘记过去,超越自己 ❤️ 博客主页 单片机菜鸟哥,一个野生非专业硬件IOT爱好者 ❤️❤️ 本篇创建时间 2024-03-02❤️❤️ 本篇更新时间 2024-03-02❤️🎉 欢迎关注 🔎点赞 👍收藏 ⭐️留言📝🙏…

白话大模型② | 如何提升AI分析的准确性?

白话大模型系列共六篇文章,将通俗易懂的解读大模型相关的专业术语。本文为第二篇:如何提升AI分析的准确性? 作者:星环科技 人工智能产品部 面对AI分析落地时的数量化、准确性、泛化性等问题,让我们稍微深入了解下当前…

pycharm专业版本的安装

一 、到官网下载对应的pycharm安装包 也可以把安装软件(用物理机下载到共享文件夹) 然后进入Ubuntu系统把下载大的安装包剪贴到目标路径 1 在ubuntu中创建一个用来存放pycharm安装包的文件夹 rootzmq-virtual-machine:/home/zmq/Desktop# mkdir pycha…

京东云硬钢阿里云:承诺再低10%

关注卢松松,会经常给你分享一些我的经验和观点。 阿里云刚刚宣布史上最大规模的全线产品降价20%,这热度还没过,京东云当晚就喊话:“随便降、比到底!,全网比价,击穿低价,再低10%”,并…

[技巧]Arcgis之图斑四至范围批量计算

ArcGIS图层(点、线、面三类图形)四至范围计算 例外一篇介绍:[技巧]Arcgis之图斑四至点批量计算 说明:如下图画出来的框(范围标记不是很准) ,图斑的x最大和x最小,y最大,…

专为大模型训练优化,百度集合通信库 BCCL 万卡集群快速定位故障

1 集合通信对分布式训练至关重要 在分布式训练中,每一块 GPU 只负责处理部分模型或者数据。集群中不同 GPU 之间通过集合通信的方式,完成梯度同步和参数更新等操作,使得所有 GPU 能够作为一个整体加速模型训练。 如果有一块 GPU 在集合通…

C++调用PyTorch模型教程

在人工智能的世界中,PyTorch已经成为了研究人员和工程师们广泛使用的深度学习框架之一。它以其灵活性和动态计算图而闻名,非常适合快速原型设计和实验。然而,当我们想要将训练好的模型部署到生产环境中时,我们可能会倾向于使用C这…

老卫带你学---leetcode刷题(172. 阶乘后的零)

172. 阶乘后的零 问题 给定一个整数 n ,返回 n! 结果中尾随零的数量。 提示 n! n * (n - 1) * (n - 2) * … * 3 * 2 * 1 示例 1: 输入:n 3 输出:0 解释:3! 6 ,不含尾随 0 示例 2: 输入…

Java Web之网页开发基础复习

tomcat之网页开发基础复习 **声明** :HTML标准规范 </!doctype> <html> : 根标签 <head>: 头部标签 内含<title><meta><link><style> <body>: 主体 <body></body> html标签 单标签: <标签名 \> 双标…

Python线性代数数字图像和小波分析之二

要点 数学方程&#xff1a;数字信号和傅里叶分析&#xff0c;离散时间滤波器&#xff0c;小波分析Python代码实现及应用变换过程&#xff1a; 读取音频和处理音频波&#xff0c;使用Karplus-强算法制作吉他音频离散傅里叶计算功能和绘制图示结果计算波形傅里叶系数正向和反向&…

1_SQL

文章目录 前端复习SQL数据库的分类关系型数据库非关系型数据库&#xff08;NoSQL&#xff09; 数据库的构成软件架构MySQL内部数据组织方式 SQL语言登录数据库数据库操作查看库创建库删除库修改库 数据库中表的操作选择数据库创建表删除表查看表修改表 数据库中数据的操作添加数…

性别和年龄的视频实时监测项目

注意&#xff1a;本文引用自专业人工智能社区Venus AI 更多AI知识请参考原站 &#xff08;[www.aideeplearning.cn]&#xff09; 性别和年龄检测 Python 项目 首先介绍性别和年龄检测的高级Python项目中使用的专业术语 什么是计算机视觉&#xff1f; 计算机视觉是使计算机能…

基于Camunda实现bpmn 2.0各种类型的任务

基于Camunda实现bpmn中各种类型任务 ​ Camunda Modeler -为流程设置器&#xff08;建模工具&#xff09;&#xff0c;用来构建我们的流程模型。Camunda Modeler流程绘图工具&#xff0c;支持三种协议类型流程文件分别为&#xff1a;BPMN、DMN、Form。 ​ Camunda Modeler下载…

笨办法:基于后端Matplotlib生成图片, 前端绘制报表

很久很久以前, 做过一个项目, 因为前端基础差, echarts捣鼓不来, 然后就折腾出来一套比较奇葩的技术方案, 就是前端需要什么图表, 后端先绘制好, 然后前端需要什么图表, 再从后端拉取后端之前响应的图片路径, 再去做渲染。 其实基于后端使用 Matplotlib 绘制图表,前端…

DangZero:通过直接页表访问的高效UAF检测(摘要及介绍及背景翻译)

先通过翻译过一遍文章&#xff0c;然后再对每个章节进行总结 摘要 Use-after-free vulnerabilities remain difficult to detect and mitigate, making them a popular source of exploitation. Existing solutions in- cur impractical performance/memory overhead, requir…

powershell界面中,dir命令的效果

常用参数 -path D:\111\111_2。读取指定路径。 -Name。只输出文件名 -Include *.txt。指定后缀的文件 -Recurse。搜索目录及其子目录。 -Force。显示具有 h 模式的隐藏文件。 >1dir.txt。将结果入指定文件 各参数使用效果 dir PS D:\111\111_2> dir 目录: D:\111…