Web-Hacking-Playground:一个模拟真实场景的Web应用程序靶场
字数 1022 2025-08-11 08:36:09
Web-Hacking-Playground 教学文档
概述
Web-Hacking-Playground 是一个模拟真实场景的 Web 应用程序靶场,旨在帮助研究人员和开发人员练习安全技术,学习如何检测和利用安全漏洞。该环境引入了多种真实场景中常见的安全漏洞,基于渗透测试和漏洞奖励计划中发现的实际漏洞构建。
环境准备
系统要求
- 推荐在 Kali Linux 上使用虚拟环境
- 需要安装 Docker 和 Docker Compose
Docker 安装
Kali Linux 安装 Docker:
sudo apt update -y
sudo apt install -y docker.io
sudo systemctl enable docker --now
sudo usermod -aG docker $USER
Debian 系发行版安装 Docker:
curl -fsSL https://get.docker.com -o get-docker.sh
sudo sh get-docker.sh
sudo systemctl enable docker --now
sudo usermod -aG docker $USER
安装 Docker Compose:
sudo apt install -y docker-compose
M1 芯片用户注意事项:
export DOCKER_DEFAULT_PLATFORM=linux/amd64
辅助工具安装
- 推荐安装 Foxy Proxy 浏览器扩展,用于轻松更改代理设置
- 推荐安装 Burp Suite,用于拦截 HTTP 请求
Foxy Proxy 配置:
- 添加新配置文件
- 配置参数:
- Proxy Type: HTTP
- Proxy IP address: 127.0.0.1
- Port: 8080
环境部署
- 克隆项目源码:
git clone https://github.com/takito1812/web-hacking-playground.git
cd web-hacking-playground
- 构建 Docker 镜像:
docker-compose build
- 启动环境:
docker-compose up -d
- 配置 hosts 文件:
sudo sed -i '/whp-/d' /etc/hosts
echo "$(docker inspect -f '{{range .NetworkSettings.Networks}}{{.IPAddress}}{{end}}' whp-socially) whp-socially" | sudo tee -a /etc/hosts
echo "$(docker inspect -f '{{range .NetworkSettings.Networks}}{{.IPAddress}}{{end}}' whp-exploitserver) whp-exploitserver" | sudo tee -a /etc/hosts
环境组成
环境包含两个容器:
- whp-socially: 包含漏洞的 Web 应用程序,模拟社交网络平台,运行在端口 80
- whp-exploitserver: 漏洞利用服务器(无漏洞),用于模拟用户访问恶意链接
访问方式:
- 漏洞 Web 应用: http://whp-socially
- 漏洞利用服务器: http://whp-exploitserver
注意: 必须使用域名而非 IP 访问漏洞利用服务器,以确保容器间正确通信。
挑战阶段
环境分为三个阶段,需按顺序完成:
阶段一: 以任意用户身份访问
目标: 获取任意用户账户的访问权限
阶段二: 以管理员身份访问
目标: 提升权限至管理员账户
阶段三: 读取/flag文件
目标: 获取系统上的 flag 文件
学习要点
- 真实场景漏洞复现
- 渗透测试流程实践
- 漏洞利用链构建
- 权限提升技术
- 横向移动技术
参考资料
- 项目地址: Web-Hacking-Playground GitHub
- Foxy Proxy: Firefox 扩展页面
后续步骤
- 访问 GitHub 项目主页查看详细通关攻略
- 尝试在不看攻略的情况下完成挑战
- 研究漏洞原理和修复方案
- 尝试构建自己的漏洞环境