渗透测试之靶场搭建

1、bwapp攻防环境搭建

系统：2003server bwapp安装包 phpstudy2018

更改bwapp文件配置：

将bwapp文件放到PHP站点目录下

修改bwapp下的admin目录下的settings.php文件

访问http://192.168.117.142/bwapp/install.php会自动在MySQL中创建bwapp数据库

接着再访问http://192.168.117.142/bwapp/

就可以登录了，登录密码在setting文件中。

2、pikachu搭建

将pikachu文件上传到www站点下

访问http://192.168.117.142/pikachu/

修改配置参数

保存后，初始化成功

3、DVWA攻防环境搭建

上传dvwa文件到www目录下

将config下的config.inc.php.dist复制一份重命名为config.inc.php

修改文件，将allow_url_include勾选上，将文件修改为root。

用户名：admin 密码是:password

4、phpcms攻防环境搭建

上传phpcms文件到www目录下

5、asp、asp.net、jsp介绍

从微软推出了ASP(Active Server Page)后，它以其强大的功能，简单易学的特点而受到广大WEB开发人员的喜欢。但是它却有微软产品的通病,只能在Windows平台下使用，虽然它可以通过增加控件而在LINUX下使用，但是其功能最强大的DCOM控件却不能使用。而SUN公司在JAVA的基础下开发出的JSP(Java Server Pages)实现了动态页面与静态页面的分离，脱离了硬件平台的束缚，以及编译后运行等方式大大提高了其执行效率而逐渐成为因特网上的主流开发工具.

asp是以前的动态网页技术，是用脚本在服务器上经解释后生成客户端页面，用这种技术开发的网页的文件扩展名也是asp；

asp.net是新架构的动态网页技术，在服务器上存放的是经过编译的程序和页面模板，aspx则正是asp.net页面模板的文件扩展名。

ASP的开发语言仅局限于使用non-type脚本语言，给客户端脚本添加代码和给页面添加ASP代码的方法是一样的。

ASP.NET的开发语言更为广泛，能够使用符合NET Framework规范的任何一种功能完善的strongly-type编程语言（比如Visual Basic、C#）。

ASP的运行环境是Windows操作系统及IIS。

ASP.NET的运行环境除了Windows操作系统及IIS，还需要安装.NET、Framework。

一、编写不同

1、asp：asp支持visual studio 编写，编写效率更低。

2、aspx：aspx支持visual studio .net编写，编写效率更高。

二、安全性不同

1、asp：asp的安全性较低，程序可在客户端运行，也可服务器端运行。

2、aspx：aspx的安全性较高，程序必须都在服务器端运行。

三、文件扩展名不同

1、asp：asp是属于asp文件类型的文件后缀名。

2、aspx：aspx是属于asp.net文件类型的文件后缀名。

JSP全称Java Server Pages，是一种动态网页开发技术。它使用JSP标签在HTML网页中插入Java代码。标签通常以<%开头以%>结束。

JSP是一种Java servlet，主要用于实现Java web应用程序的用户界面部分。网页开发者们通过结合HTML代码、XHTML代码、XML元素以及嵌入JSP操作和命令来编写JSP。

JSP通过网页表单获取用户输入数据、访问数据库及其他数据源，然后动态地创建网页。

JSP标签有多种功能，比如访问数据库、记录用户选择信息、访问JavaBeans组件等，还可以在不同的网页中传递控制信息和共享信息。

四、组合

iis+asp+access

iis+aspx+sql server(简称：mssql)

6、ASP环境搭建

开启IIS服务

控制面板->添加或删除程序->添加Windows组件->应用程序服务器->详细信息->在详细信息的窗口中把ASP.NET选中

部署一个网站

7、ASPX环境搭建

安装sqlserver数据库

将项目数据导入数据库

创建网站

8、Tomcat+Structs靶机环境搭建

tomcat是一个开源的轻量级Web应用服务器，在中小型系统和并发量小的场合下被普遍使用，是开发和调试JSP 程序的首选。

structs是一个java开发的后端语言框架，是Model-View-Controller（MVC）设计模式的应用框架，是MVC经典设计模式中的一个经典产品。

通过JSPStudy来快速完成:

JSPStudy安装

jsp的代码开发完成之后，进行部署的之前，都会将代码进行打包，打包出来的文件都是以.war结尾的文件,将war包放到tomcat网站根目录里面去

访问网站：http://192.168.117.142/struts2-showcase/showcase.jsp

9、jboss环境搭建

安装jdk

配置java环境变量

安装jdk配置环境变量
新建系统变量，变量名为：JAVA_HOME   变量值：C:\Program Files\Java\jdk1.6.0_45\
变量名：Path 变量值h： %JAVA_HOME%\bin;%JAVA_HOME%\jre\bin
变量名：CLASSPATH   变量值：.;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar

查看java和javac是否能够正常使用

安装jboss

配置jboss环境变量

新建系统变量，变量名为：JBOSS_HOME   变量值：c:\jboss
变量名为：SystemRoot   变量值：C:\Windows
新建用户变量，变量名为：Path   变量值：
%SystemRoot%/system32;%SystemRoot%;%JBOSS_HOME%\bin

运行jboss

1.运行C:\jboss\bin\run.bat  
2.浏览器中输入http://localhost:8080/   
3.网站的用户名和密码：admin admin

端口及ip修改

进入 jboss-6.1.0.Final\server\default\deploy\jbossweb.sar
编辑 server.xml 搜索 "8080″和${jboss.bind.address}改为80及ip为：0.0.0.0 
或直接运行run.bat -b 0.0.0.0

用户名密码：

admin admin

上传攻击代码网站

10、weblogic环境搭建

安装java环境，和jboss的java环境一样

将weblogic.jar文件放到虚拟机上去

双击install.exe安装

选择安装路径，直接下一步，默认即可，把默认路径记下来C:\Oracle\Middleware\Oracle_Home ，后面有用

域位置
C:/Oracle/Middleware/Oracle_Home/user_projects/domains/base_domain
管理服务器 URL 
http://krystal-3b0f7ce:7001/console

部署攻击网站