)
bWAPP 是什么为什么它这么适合新手bWAPPBuggy Web Application顾名思义就是一个“故意写满漏洞的网站”。它的核心作用只有一个让你练漏洞。1. 它到底能干嘛bWAPP 内置了100 常见 Web 漏洞场景包括SQL 注入SQL InjectionXSS跨站脚本攻击文件上传漏洞命令执行CSRFXXEXML 外部实体注入SSRFOpen Redirect也就是说你在课上学到的那些“攻击方式” 在这里基本都能亲手操作一遍。2. 它最大的优点分级难度bWAPP 很贴心的一点是它提供了三种安全等级low低medium中high高这意味着什么同一个漏洞你可以在 low 模式下理解原理在 medium 模式下尝试绕过在 high 模式下挑战真实防护这比单纯看书强太多了。3. 为什么老师都爱用它一句话总结因为它“刚刚好”。不像真实网站那么复杂也不像教学案例那么简单每个漏洞都“可控 可复现”对于初学者来说它就是从“看懂漏洞”到“会打漏洞”的桥梁二、为什么推荐用虚拟机版本我一开始也想直接本地搭建Apache PHP MySQL 但很快发现一个问题很多漏洞根本跑不起来。比如心脏滴血漏洞HeartbleedShellshock破壳漏洞这些漏洞依赖特定环境本地搭建很难复现。所以更推荐bee-box 虚拟机版本bee-box 是官方提供的一个“开箱即用”的环境里面已经配好了 Web 服务配好了数据库集成了 bWAPP配好了漏洞环境你只需要下载 → 导入 → 启动 → 开始练非常适合新手。三、手把手教你搭建 bWAPP虚拟机版下面是我自己实际走过的一套流程基本零踩坑。1下载 bee-box下载地址https://sourceforge.net/projects/bwapp/files/bee-box/bee-box_v1.6.7z/download下载完成后解压压缩包你会看到一个 bee-box 文件夹2导入虚拟机打开 VMware按照以下步骤操作点击「打开虚拟机」进入刚刚解压的目录选择文件bee-box.vmx打开3网络配置非常关键建议设置为NAT 模式原因可以直接访问外网宿主机可以访问虚拟机不需要复杂配置4启动虚拟机点击“开启此虚拟机”稍等一会你会看到一个类似 Linux 的界面。说明已经启动成功。四、如何使用 bWAPP两种方式接下来就是最关键的一步如何访问这个靶场方法一在虚拟机内部访问操作步骤打开虚拟机桌面找到bWAPP-Install点击运行登录信息用户名bee 密码bug登录成功后你会看到主界面。在右上角可以选择漏洞类型比如XXESQL InjectionXSS
—— 手搓自主shell)
