0x00 靶场介绍
bwapp是一款非常好用的漏洞演示平台,包含有100多个漏洞。开源的php应用后台Mysql数据库。
0x01 安装
BWAPP有两种安装方式,一种是单独安装,需部署在Apache+PHP+Mysql环境下;一种是虚拟机导入,下载后直接用VMWare打开即可。
下面分别介绍两种方式的安装方法。
1. 单独安装
由于需要部署在Apache+PHP+Mysql环境下,我们可以直接使用集成环境,这里笔者使用的是PHPStudy,PHPStudy的安装及使用在此就不做介绍了。
(1)下载链接:
https://sourceforge.net/projects/bwapp/files/latest/download
(2)安装步骤:
A.下载后解压文件,将文件放在WWW目录下
B.在admin/settings.php下更改数据库连接设置
同时也能在文件下方看到默认登录账户名及密码,可按需更改
C.运行PHPStudy,然后在浏览器打开http://127.0.0.1/bWAPP/install.php
点击here创建数据库
D.安装成功,进入靶场主界面
(3)使用方法:
账户名及密码:bee/bug
可在右上方选择漏洞和安全级别进行测试
2. 虚拟机安装
虚拟机版本能够测试的漏洞更多,比如破壳漏洞,心脏滴血漏洞等在单独安装的环境下无法测试。
(1)下载链接:
https://sourceforge.net/projects/bwapp/files/bee-box/bee-box_v1.6.7z/download
(2)安装步骤
下载后解压,打开VMWare,在打开虚拟机选项中进入bee-box文件选择bee-box.vmx即可。选择NAT模式,开启虚拟机即可进入主界面
(3)使用方法:
登录:bee/bug;安全等级可选;低-中-高
方法一:直接在bee-box虚拟机中使用,点击bWAPP-Start即可进入登陆页面,登录后在右上方找到XXE漏洞,选择测试等级
方法二:查看虚拟机IP,在物理机浏览器访问http://虚拟机IP地址/bWAPP/login.php进行登录,登录后在右上方找到XXE漏洞,选择测试等级
