之前只用过dvwa,听说WebGoat也是类似的平台后,想装来试试有没有什么异同。
看了下载文件,和网上官方的、非官方的安装教程,感觉很多都对不上;
最后发现WebGoat 8是几天前才发布的,网上官方的、非官方的安装教程都是针对的WebGoat 7或更前面的版本,所以这里根据自己的步骤整理了一篇教程。
(应该是因为webgoat8是使用spring boot框架开发的而之前的版本不是)
我们这里选择WebGoat的jar版本,由于WebGoat 8的jar文件已自带了tomcat和数据库,所以不需要再另外安装tomcat和mysql这种东西,只需要安装jdk用于运行jar文件即可。
由于WebGoat 8使用jdk 1.8编译所以我们也需要安装jdk 1.8版本;jdk安装过程不再辍述,如果需要,可参考链接。
下载地址:https://github.com/WebGoat/WebGoat/releases
webgoat-server就是webgoat。
webwolf是为方便攻击者给配套的一个网站,有些情况攻击者会需要自己的一个网站来配合,比如你需要远程包含一个文件等;觉得需要则可一起下载。
下载上一步中jar文件,然后存放到自己想放的目录即可,比如我这里放到/opt目录。
cd /opt
java -jar webgoat-server-8.0.0.M14.jar
默认监听127.0.0.10:8080地址,如果想修改ip和端口可在启动时指定相应参数,如:
java -jar webgoat-server-8.0.0.M14.jar --server.port=8000 --server.address=0.0.0.0
默认监听端口8080,待启动完成后,使用浏览器访问:http://127.0.0.1:8080/WebGoat
有没有默认用户不知道,自己直接去注册一个用户即可。注册完后返回登录,进入界面如下:
部局和dvwa差不多,左侧是菜单右侧是对应的内容,我们点开sql注入漏洞界面如下:
上方的“1,2,3...8”是相关的界面,其中灰色圏背景的是漏洞说明页面,红色圈背景的是存在漏洞的页面。其他漏洞的布局与此类似。
webwolf一样下载,一样用java -jar运行就可以了,启动完后访问(似乎新版改成了9090端口):http://127.0.0.1:8081/WebWolf
一样自己注册一个账号登录即可,登录后主界面如下: