webgoat - HackMD

# webgoat ###### tags: `靶機` `webogat` ## 大綱 1. 介紹一些靶機，並且大概說明長什麼樣子 2. 帶大家裝webgoat 3. 安裝好之後做兩道題目 ## 靶機 * 甚麼是靶機作為練習用途，充滿漏洞的環境 * 常見的靶機 * [CyberSploit: 1](https://resources.infosecinstitute.com/topic/cybersploit-1-vulnhub-ctf-walkthrough/) 一個虛擬的機器，去網站會給一個ova檔案打開長這樣 ![](https://i.imgur.com/3olJGeq.png) 以CTF的方式學習，找尋這台機器的漏洞取得flag * [tryhackme](https://tryhackme.com/) 在網站註冊即可使用，有免費版也可以付費使用更多課程 ![](https://i.imgur.com/wM2bJGM.png) 左邊是提交答案的地方來驗證自己理解有無錯誤，右邊有一個迷你的小網站跟詳細的教學步驟 * DVWA * pentesterlab * OWASP WebGoat 用java建立的環境，有詳細的教學，循序漸進引導人一步一步學習起必要的知識 ## 安裝 [腳本](https://drive.google.com/file/d/1R9RMx_3DYkGZDvekzWdYraqjOjW6MRkY/view?usp=sharing) :::info 切換到目錄下輸入 ./webgoat_installer.sh ::: :::info 如果無法執行 sudo chmod +x webgoat_installer.sh ::: ## 裝好以後 #### 啟動指令 java -jar webgoat-server-8.2.2.jar --server.port=8080 --server.address=localhost ![](https://i.imgur.com/aCsNUZ6.png) #### 輸入網址 http://localhost:8080/WebGoat ![](https://i.imgur.com/9ndBmY8.png) ## 到這邊webgoat就裝好囉 ## 註冊輸入自己記得的帳號密碼 ## 開始挑戰 :::info #### 1. General-HTTP Basics 帶題目說明 post get和 http header F12 看network 可以看到方法跟裡面的magic num [答案](https://hackmd.io/IATK_EGXSTy1n9XSoiiLTA) #### 2. (A1) Injection-SQL Injection(intro) 帶題目 SQL 簡介 [答案](https://hackmd.io/p_K1SLn7Qqevv1BF9QLiFA?both) ::: ## 參考資料 :::info [ithome](https://ithelp.ithome.com.tw/articles/10206165) [webgoat github](https://github.com/WebGoat/WebGoat/releases) [WebGoat (A1) SQL Injection (intro)](https://blog.csdn.net/elephantxiang/article/details/113926298) :::