freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

全网首发 webug的安装试用
2019-02-06 14:27:34

226安全团队送来的新年礼物——webug4.0

webug4.0的安装试用

01:介绍

WeBug名称定义为“我们的漏洞”靶场环境
基础环境是基于PHP/mysql制作搭建而成,中级环境与高级环境分别都是由互联网漏洞事件而收集的漏洞存在的操作环境。
部分漏洞是基于Windows操作系统的漏洞所以将WeBug的web环境都装在了一个纯净版的Windows 2003的虚拟机中。

在webug3.0发布后的四百多天226安全团队终于在大年初二发布了webug的4.0版本。 

02:webug漏洞靶场中包含的漏洞环境

get注入

图片破解

信息收集练习——目录端口收集

暴力破解练习

x-forwarded-for注入

支付漏洞

垂直越权

CSRF

url跳转

GET任意文件下载

POST任意文件下载

无验证上传

反射型XSS

存储型XSS

校验扩展名上传

验证来源去向的url跳转

文件包含

POST文件包含

HOST注入

APK破解

延时注入

DZ7.2论坛sql注入

aspcms注入

phpmyadmin任意文件包含漏洞

齐博系统SQL注入

海盗云商getshell

PHP168任意代码执行GET SHELL

ecshop 注入

ShopXp系统SQL注射漏洞

Dcore(轻型CMS系统)注入漏洞

MetInfo 任意文件包含漏洞可getshell

Metinfo news.php盲注

Metinfo img.php盲注

万众电子期刊在线阅读系统PHP和ASP最新版本通杀SQL注入

BEESCMS sql注入,无视防御

ourphp 注入

phpwind 命令执行漏洞

metinfo  任意用户密码修改

DZ 3.2 存储型XSS

DedeCMS flink.php友情链接注入

DedeCms?recommend.php注入

BEESCMS 小于等于V4四处注入+无需密码直接进后台

海洋 x-forwarded-for注入

php截断利用

st2-016

jboss命令执行

tomcat弱口令

hfs远程命令执行

st2-052命令执行

flash远程命令执行

gh0st远程溢出

IIS6.0远程溢出 

虚拟机纯净版系统,无任何补丁(也就是意味着附带所有windows 2003的漏洞包括 ms08-067、ms17-010、ms15-015等所有漏洞)

03:webug4.0的安装

第一步:官网下载webug4.0  www.webug.org

因为webug4.0的web环境是装在一个纯净版的windows 2003中的 所以我们还要

下载虚拟机软件VMware Workstation Pro  https://my.vmware.com



webug3.png

第二步:安装好虚拟机软件VMware Workstation Pro

解压下载好的webug4.0

webug4.png

点击Windows Server 2003 Enterprise Edition

webug5.png

点击开启虚拟机,如果觉得卡的话可以自行配置一下虚拟机的内存和cpu等设置。

webug6.png


默认的密码为空,直接登陆就行。

webug7.png

启动phpstudy,然后win+r打开cmd键入ipconfig 查看ip。


webug8.png

webug9.png

本地访问192.168.19.135,账号密码默认为admin

webug10.png

webug11.png


05:后记

webug作为一个优秀国产漏洞靶场是非常适合想要进入网络安全圈的同学不可多得的训练环境。

hbt.png

文:黑白天--李国聪



本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者