一、说明

1.1 背景说明

之前只用过dvwa,听说WebGoat也是类似的平台后,想装来试试有没有什么异同。

看了下载文件,和网上官方的、非官方的安装教程,感觉很多都对不上;

最后发现WebGoat 8是几天前才发布的,网上官方的、非官方的安装教程都是针对的WebGoat 7或更前面的版本,所以这里根据自己的步骤整理了一篇教程。

(应该是因为webgoat8是使用spring boot框架开发的而之前的版本不是)

1.2 安装前置条件说明

我们这里选择WebGoat的jar版本,由于WebGoat 8的jar文件已自带了tomcat和数据库,所以不需要再另外安装tomcat和mysql这种东西,只需要安装jdk用于运行jar文件即可。

由于WebGoat 8使用jdk 1.8编译所以我们也需要安装jdk 1.8版本;jdk安装过程不再辍述,如果需要,可参考链接

二、安装

2.1 下载

下载地址:https://github.com/WebGoat/WebGoat/releases

WebGoat 8安装、配置、使用教程(CentOS)-风君雪科技博客

webgoat-server就是webgoat。

webwolf是为方便攻击者给配套的一个网站,有些情况攻击者会需要自己的一个网站来配合,比如你需要远程包含一个文件等;觉得需要则可一起下载。

2.2 安装

下载上一步中jar文件,然后存放到自己想放的目录即可,比如我这里放到/opt目录。

三、使用

3.1 启动

cd /opt
java -jar webgoat-server-8.0.0.M14.jar

WebGoat 8安装、配置、使用教程(CentOS)-风君雪科技博客

默认监听127.0.0.10:8080地址,如果想修改ip和端口可在启动时指定相应参数,如:

java -jar webgoat-server-8.0.0.M14.jar --server.port=8000 --server.address=0.0.0.0

3.2 登录

默认监听端口8080,待启动完成后,使用浏览器访问:http://127.0.0.1:8080/WebGoat

WebGoat 8安装、配置、使用教程(CentOS)-风君雪科技博客

有没有默认用户不知道,自己直接去注册一个用户即可。注册完后返回登录,进入界面如下:

WebGoat 8安装、配置、使用教程(CentOS)-风君雪科技博客

部局和dvwa差不多,左侧是菜单右侧是对应的内容,我们点开sql注入漏洞界面如下:

WebGoat 8安装、配置、使用教程(CentOS)-风君雪科技博客

上方的“1,2,3…8”是相关的界面,其中灰色圏背景的是漏洞说明页面,红色圈背景的是存在漏洞的页面。其他漏洞的布局与此类似。

3.3 webwolf的安装使用

webwolf一样下载,一样用java -jar运行就可以了,启动完后访问(似乎新版改成了9090端口):http://127.0.0.1:8081/WebWolf

一样自己注册一个账号登录即可,登录后主界面如下:

WebGoat 8安装、配置、使用教程(CentOS)-风君雪科技博客