Web 漏洞训练平台学习笔记（webgoat & juice shop）

Web 漏洞训练平台

实验目的

• 了解常见 Web 漏洞训练平台；
• 了解 常见 Web 漏洞的基本原理；
• 掌握 OWASP Top 10 及常见 Web 高危漏洞的漏洞检测、漏洞利用和漏洞修复方法；

实验环境

• WebGoat / Juice shop
• kali 2021.2

实验要求

• 每个实验环境完成不少于 5 种不同漏洞类型的漏洞利用练习
• （可选）使用不同于官方教程中的漏洞利用方法完成目标漏洞利用练习
• （可选）最大化 漏洞利用效果实验
• （可选）定位缺陷代码
• （可选）尝试从源代码层面修复漏洞

WebGoat环境准备

• 在kali上装docker建议看看这个,黄大的实验准备，免得像我一样因为课程之前下了其他版本的docker而死活搞不定compose up

  Linux谁都能参一脚搞得不同发行版之间的包乱糟糟的，以前都是听人吐槽，谁知道有天落自己头上了

• 查看docker状态sudo systemctl status docker

• 安装docker与docker-compose apt-get update && apt get install docker.io python3-pip pip3 install docker-compose

• 新建工作目录并切换至工作目录mkdir workspace && cd workspace/

• 开启docker服务 systemctl start docker

• 下载课程所需漏洞练习环境 git clone https://github.com/c4pr1c3/ctf-games.git --recursive

• 切换到相应目录下cd ctf-games/

• 单独更新子模块 git submodule init && git submodule update

• 启动 webgoat 系列服务 cd owasp/webgoat/ && docker-compose up -d

友情提示，之前要是像我一样是傻乎乎的不管啥版本号不版本的就随便乱装了docker，可以用sudo apt-get remove docker docker-engine docker.io卸载docker再重装……据我重装的信息显示，随便搞的和好好整的这两者之间差了150MB左右

再友情提示，别用阿里云的源 (¬_¬ ) 中科大或者清华的都行,不然你会在compose up的时候卡在3d725b7d6111这个包上死活下不了就是不停retry

• 查看当前容器状态是否正常 docker ps，确保是healthy

http://127.0.0.1:8087/WebGoat/login for webgoat 7.1

http://127.0.0.1:8088/WebGoat/login for webgoat 8

sudo lsof -i 4 -P -n -L [| portcode_like_8080]查看当前端口占用情况[或特定端口占用情况]

关于firefox原生代理管理不能走到burpsuite上的问题，在后面会有讲解。谁知道搞个环境就花了我几个小时呢…真的是能踩的坑都踩完了

---

实验过程

WebGoat 8.0

General

HTTP Basics

• 提示还是挺明显的，问题是这是POST还是GET报文以及magic number，F12查看报文，发现是POST，数字则直接在前端搜索一下magic就好了

​ 点击"Go!"，提示你已经解决了这个问题

看到这