最近刚入门web安全,学习了很多漏洞以及攻击手法。但是苦于没有地方练手,无意中看到学弟的一篇文章,一个名为BWVS的漏洞平台的搭建,据说这个平台包含很多漏洞,是居家旅行、练手必备的神器啊,于是乎我便开始动手搭建这个环境,嘿嘿嘿。现附上原文章的链接:http://zone.secevery.com/article/1020
先简单介绍一下BWVS这个平台,BWVS(BugKu Web Vulnerability System)是一个基于留言功能的简单web漏洞测试系统,具有很强的可移植性和扩展性,适用于业界主流的Web集成环境,如WAMP(Windows+Apache+Mysql+PHP)、LAMP(Linux、Apache、Mysql、PHP)、LNMP(Linux+Ngnix+Mysql+PHP)。这个系统包含了主流的PHP web漏洞,如SQL注入、上传漏洞、XSS跨站脚本攻击、命令注入、文件包含、源代码泄露、Session劫持、IP伪造验证漏洞、代码逻辑错误漏洞等。其中以SQL注入漏洞、XSS跨站脚本漏洞等高危web漏洞为主,系统中内置了10多个WAF函数,目的是为了更加贴近实战环境,提高渗透测试人员和代码审计人员的综合能力,同时也时候有一定基础的web安全学习者深入学习和了解web安全,大佬可以绕过。
先附上BWVS靶机址: https://github.com/bugku/BWVS ,github的链接。在浏览器中打开进去之后直接点击download就可以下载了。如图所示,
靶机所需环境: php+mysql就可以了,但是不要再生产环境上搭建靶机。建议使用PHPstudy,简单方便。PHPstudy官网:http://phpstudy.php.cn/ 如下图所示,直接点击立即下载。官方安装教程,http://phpstudy.php.cn/jishu-php-2956.html
接下来就是BWVS的搭建教程了,请各位小伙伴细细的看。
第一步,修改php.ini的两个参数, allow_url_include=On; allow_url_fopen=On。
第二步,先把下载好的BWVS文件解压到phpstudy的 "WWW" 目录下。然后导入数据库文件。一切步骤尽在下图中。
第三步,修改/bwvs_config/bwvs_config.php中的两个选项。DataName的值修改为 “BWVS”; $basedir的值修改为 "/BWVS"。如下图所示,
如果是新安装的PHPstudy其他的不用修改,如果是之前安装的,要修改数据库的账户密码为自己使用的。也就是User和Password两个选项。
第四步,修改\bug\conn.php中的DB_NAME的值为BWVS。如下图所示,
到这一步,这个漏洞平台就可以正常使用了,快去好好练习吧。
