WebGoat 8安装、配置、使用教程（CentOS）

一、说明

1.1 背景说明

之前只用过dvwa，听说WebGoat也是类似的平台后，想装来试试有没有什么异同。

看了下载文件，和网上官方的、非官方的安装教程，感觉很多都对不上；

最后发现WebGoat 8是几天前才发布的，网上官方的、非官方的安装教程都是针对的WebGoat 7或更前面的版本，所以这里根据自己的步骤整理了一篇教程。

（应该是因为webgoat8是使用spring boot框架开发的而之前的版本不是）

1.2 安装前置条件说明

我们这里选择WebGoat的jar版本，由于WebGoat 8的jar文件已自带了tomcat和数据库，所以不需要再另外安装tomcat和mysql这种东西，只需要安装jdk用于运行jar文件即可。

由于WebGoat 8使用jdk 1.8编译所以我们也需要安装jdk 1.8版本；jdk安装过程不再辍述，如果需要，可参考链接。

二、安装

2.1 下载

下载地址：https://github.com/WebGoat/WebGoat/releases

webgoat-server就是webgoat。

webwolf是为方便攻击者给配套的一个网站，有些情况攻击者会需要自己的一个网站来配合，比如你需要远程包含一个文件等；觉得需要则可一起下载。

2.2 安装

下载上一步中jar文件，然后存放到自己想放的目录即可，比如我这里放到/opt目录。

三、使用

3.1 启动

cd /opt
java -jar webgoat-server-8.0..M14.jar

默认监听127.0.0.10:8080地址，如果想修改ip和端口可在启动时指定相应参数，如：

java -jar webgoat-server-8.0..M14.jar --server.port= --server.address=0.0.0.0

3.2 登录

默认监听端口8080，待启动完成后，使用浏览器访问：http://127.0.0.1:8080/WebGoat

有没有默认用户不知道，自己直接去注册一个用户即可。注册完后返回登录，进入界面如下：

部局和dvwa差不多，左侧是菜单右侧是对应的内容，我们点开sql注入漏洞界面如下：

上方的“1,2,3...8”是相关的界面，其中灰色圏背景的是漏洞说明页面，红色圈背景的是存在漏洞的页面。其他漏洞的布局与此类似。

3.3 webwolf的安装使用

webwolf一样下载，一样用java -jar运行就可以了，启动完后访问（似乎新版改成了9090端口）：http://127.0.0.1:8081/WebWolf

一样自己注册一个账号登录即可，登录后主界面如下：