——————   昨日回顾  ——————  

红日安全出品|转载请注明来源

文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！（来源：红日安全）

ATT&CK实战 | Vulnstack 红队（一）

—————— —————— —————

介 绍

WebGoat是OWASP维护的，用于进行WEB漏洞测试和学习的JAVA应用程序

测试环境

1. 系统: win7

2. WebGoat: v8.0.0.M24

3. 测试程序: Firefox，chrome, ZAP 2.7.0，WebWolf v8.0.0.M24, luyten 0.5.4，ysoserial

WebGoat启动

1. 下载地址: https://github.com/WebGoat/WebGoat/releases2. 

安装JDK 11: https://www.oracle.com/technetwork/java/javase/downloads/index.html3. 

启动

4. firefox访问: http://localhost:8888/WebGoat

5. 注册新用户

6. 使用注册用户名密码进入WebGoat平台

WebWolf基础

1. 介绍

WebWolf是OWASP提供的用于模拟攻击者的应用程序，提供了文件托管、接收邮件、显示请求数据等功能，用于辅助攻击者完成攻击活动

2. 启动

1) 下载地址: https://github.com/WebGoat/WebGoat/releases2

2) 安装JDK 11: https://www.oracle.com/technetwork/java/javase/downloads/index.html3

3) 启动

4) firefox访问: http://localhost:9090/WebWolf

5) 使用WebGoat注册的用户名密码进行登陆

3. 解题

1) WebWolf 03

2) WebWolf 04

HTTP基础

1. HTTP协议

Web浏览器与服务器之间通过应用层HTTP协议进行数据交换，目前常用的HTTP协议有HTTP1.0、HTTP1.1和HTTP2.0，针对HTTP1.0和HTTP1.1请求和响应格式类似，主要分三部分：请求/响应行，请求/响应头，请求/响应体

2. HTTP代理

代理通常位于客户端和服务器连接之间，转发客户端的请求到服务器同时将服务器端响应转发给客户端，可用于记录所有请求和响应结果、拦截请求/响应、篡改请求/响应数据等功能

3. 配置ZAP代理

4. 配置Firefox代理

5. ZAP代理使用

1) 记录请求和响应内容

在Firefox中查看WebGoat控制程序，可在ZAP history选项卡中查看所有发起请求和响应的内容

2) 拦截请求/响应

拦截按钮说明

3) 自动拦截规则设置

4) 排除代理拦截

6. 解题

1) HTTP Basics 02

2) HTTP Basics 03

3) HTTP Proxies 06

海量安全课程   点击以下链接   即可观看 

http://qiyuanxuetang.net/courses/