docker 漏洞测试 靶机环境 靶机平台 vulhub vulapps 简介
在实际学习中,经常需要模拟不同的漏洞环境,而使用公网的实例的话,多多少少又存在一些风险,因此能搭建一个本地的模拟环境去测试漏洞是一个不错的方案。Docker是近两年来十分流行的开源容器引擎,因此也出现了很多使用Docker容器搭建的靶机环境供新手学习和使用。
这次我们来介绍两款使用docker进行搭建的集成了各种漏洞的靶机环境:
1. 由Phithon维护的Vulhub
官网地址:vulhub.org
项目地址:https://github.com/phith0n/vulhub
Vulhub是一个面向大众的开源漏洞靶场,无需Docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。
2. 由 Medicean 维护的Vulapp项目地址:https://github.com/Medicean/VulApps
Vulapp收集各种漏洞环境,为方便使用,统一采用 Dockerfile 形式。同时也收集了安全工具环境。
下面来介绍下如果用Docker去搭建Vulhub和Vulapps
搭建Vulhubs
官网地址:http://vulapps.evalbug.com/
准备环境:
以下在Ubuntu16.04中操作
1.在ubuntu16.04中安装pip
curl -shttps://bootstrap.pypa.io/get-pip.py | python3
2.安装docker
apt-get update && apt-getinstall docker.io
3.启动docker服务
service docker start
4.安装compose
pip install docker-compose
拉取vulhub
由于国内“不可描述的”原因,使用git clone拉取vulhub可能出现各类不可描述的情况。因此建议直接从github上下载项目就好了
当然,如果你的网络足够稳定的话,也可以使用下面的命令进行拉取。
git clone git@github.com:phith0n/vulhub.git
这里以struts环境为例,打开struts2下的s2-016目录
cd vulhub/struts/s2-016
在线自动化编译docker环境
docker-compose build
注意:
docker自身出错的情况,多出现在使用的docker/docker-compose版本较老时出现的BUG,最好使用最新版docker测试vulhub项目。源码编译失败的情况也可能出现,vulhub中的环境全部基于官方镜像编译,官方镜像可能会更新与升级,linux系统升级后可能造成编译上有一定差别,部分老原来就可能编译不成功了。
如果反复出现编译不了的情况的话,建议使用作者已经编译好并传到dockerhub的镜像:
https://hub.docker.com/u/vulhub/
使用方法是将docker-compose.yml里build: .替换成image:vulhub/xxxx
启动docker环境
docker-compose up -d
这时访问http://your-ip:8080/link.action就可以看到环境已经搭建好了。
这时再去使用struts2的利用工具就可以愉快的测试漏洞了
特别需要注意一点的是,vulhub里的漏洞并不是每一个都需要编译的,建议在运行之前到github上去看下关于特定漏洞的配置说明。
搭建Vulapp
对于没有docker基础的新手,建议使用vulapp的在线拉取镜像。如果国内访问速度很慢的话,建议将docker源替换成国内源:
推荐使用中科大源,替换方法可以参考中科大的说明文档。
Vulapp中每一个漏洞的readme.md文档中包含了详细的安装过程只需按照说明去拉取进行并启动环境即可。
按照使用说明教程搭建了wordpress的phpmailer漏洞复现环境
总结
虽然这里只是使用了github中开源的漏洞复现环境进行了介绍,但是也给很多新人学习漏洞和渗透测试的一个新的思路。Docker可以说是近两年一个特别火热的话题,它以轻巧、简单、开源著称,对于新人来说,使用docker去快速搭建一个靶机环境进行测试莫过于成本最低的一个方法,然而对于不太熟练docker的新手来说,vulapp和vulhub又是一个极为节省时间且十分高效的一个方案。
Vulhub和vulapp都是非常不错的一套靶机环境,这两款靶机环境都涵盖了最近一段时间比较流行的漏洞。特别值得一提的是vulapp不仅仅包含了漏洞还包含了漏洞利用的工具,这也给新人搭建环境测试漏洞提供了便利。这里也要给vulhub和vulapp的维护者点个赞,这两套靶机环境的最近更新时间均为半个月之内,同时也涵盖了最近两个月的漏洞,需要感谢他们的开源才使得更多新人能够更快学到更多知识。
docker 漏洞测试 靶机环境 靶机平台 vulhub vulapps 简介相关推荐
- 墨者学院刷题笔记——SQL手工注入漏洞测试(MongoDB数据库)
今天继续给大家介绍Linux运维相关知识,本文主要内容是SQL手工注入漏洞测试(MongoDB数据库). 一.题目简介 我们这里采用墨者学院的MongoDB数据库渗透测试题目,其地址为:https:/ ...
- 基于CectOS7利用docker搭建Vulhub漏洞靶机环境
基于CectOS7利用docker搭建Vulhub漏洞靶机环境 准备条件 第一步:在CentOS7上安装docker centos安装python3 安装 docker-compose docker- ...
- 【环境搭建】WAMP环境+DVWA漏洞测试平台搭建过程
目录 0 前言 1 WAMP环境简介 2 环境部署过程 2.1 目标 2.2 虚拟机安装win2008R2SP1 2.3 安装phpstudy 2.4 配置MySQL 2.5 安装DVWA 2.6 安 ...
- Docker配置CTF中的靶机环境
0x01 前言 之所以整理一篇Docker搭建CTF中的靶机文章,主要是因为最近断断续续遇到需要自己搭建一个服务器端镜像的事,出题或者是部署一些服务,出于安全或者是可移植性的一些考虑,都是需要用到Do ...
- CentOS 7 搭建 docker+vulhub(漏洞测试靶场)
CentOS 7 安装Vulhub(漏洞测试靶场) 一.安装Docker 1.一键安装Docker 2.手工安装Docker 3.Docker加速器 配置Docker镜像站 Linux macOS W ...
- MS08067/MS10061漏洞靶机环境搭建总结
MS10-061靶机搭建环境网上并没找到什么资料,做一个总结,为大家提供参考: MS10-061:打印后台程序服务中可能允许远程执行代码漏洞 准备环境: VMware WINDOWS XP SP3 ...
- docker安装pocbox(漏洞测试验证辅助平台)
PoCBox - 漏洞测试验证辅助平台 开发这个平台的初衷是帮助自己在漏洞挖掘测试中更加方便快捷的辅助自己进行漏洞验证. 一开始的想法是框架化.模块化,但是开发着开发着就发现有点累,于是采用了原始的方 ...
- 使用Docker如何搭建Web漏洞测试环境?
本文和大家分享的是使用Docker搭建Web漏洞测试环境相关知识,希望对大家学习Docker有所帮助,一起来看看吧. 由于一直在做 Web 漏洞扫描器的开发, 那么就必然少不了 Web 的漏洞测试环境 ...
- 渗透测试 ( 2 ) --- 渗透测试系统、靶机、GoogleHacking、kali工具
操作系统:https://zhuanlan.zhihu.com/p/162865015 1.基于 Windows.Linux.Android 的渗透测试系统 1.1 基于 Linux 的系统 Kali ...
最新文章
- python3 函数 不定长参数 不定参
- 目标检测R-CNN模型的CNN模块微调过程分析【全网最易懂】
- cmd pc如何开多个微信_Win10下个人微信与企业微信多开
- Kafka设计解析(七)- 流式计算的新贵 Kafka Stream
- Java集合:set的遍历方式
- 上海计算机应用基础自考上机,上海2010年自考计算机应用基础上机大纲
- android jni ——Field Method -- Accessing Field
- JSP页面中使用超链接进行传输参数(参数是一个本地磁盘链接)问题
- C/C++中的关键字
- 设c语言数组data(m 1),C语言 程序设计基础试题七及答案
- android file isdirectory,android – 为什么我不能在Environment.DIRECTORY_PICTURES中创建一个目录?...
- Linux内核和用户空间数据交互copy_to_user和copy_from_user
- 论文笔记_S2D.15_2016-CVPR_ResNet_用于图像识别的深度残差学习网络
- Win32 SDK创建ListView控件
- 语音识别-特征提取 (一)
- 163 VIP邮箱如何群发邮件?注册电子邮箱哪家发信效果好?
- 【转自Oracle官方博客】一个ASMCA无法识别磁盘设备的问题
- Python实现多张图片拼接
- jQuery Mobile 按钮、图标
- 如何理解商城网站建设行业的存在
热门文章
- Linux_自制系统服务启动脚本
- Windows 7删需要权限的文件
- 阅读笔记:Solving the “false positives” problem in fraud prediction
- 【OCP新题库】052最新题库解析-第5题
- python3 爬淘女郎
- Selenium3.X 与 Javascript (Nodejs)
- C#开发学习——内联表达式
- LigerUI 使用教程表格篇
- c++ string c_str() 和data()区别
- MySql中启用InnoDB数据引擎的方法