Centos7下搭建WebGoat 8和DVWA环境

搭建WebGoat

安装前置条件说明

我们这里选择WebGoat的jar版本，由于WebGoat 8的jar文件已自带了tomcat和数据库，所以不需要再另外安装tomcat和mysql这种东西，只需要安装jdk用于运行jar文件即可。

由于WebGoat 8使用jdk 1.8编译所以我们也需要安装jdk 1.8版本

1、下载并安装JDK

卸载OpenJDK

java -version    #查看当前jdk版本
rpm -qa | grep -E 'java|jdk'    #查看OpenJDK相关包
yum remove -y java-1.7.0-openjdk-1.7.0.99-2.6.5.1.el6.x86_64 \
java-1.6.0-openjdk-1.6.0.38-1.13.10.4.el6.x86_64    #卸载OpenJDK

下载JDK链接

http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html

百度云盘下载地址

链接: https://pan.baidu.com/s/1Kdt4cNwrHo46MJgKsm6d9g 提取码: 1ze8

安装JDK

tar -zxf jdk-8u211-linux-x64.tar.gz -C /opt    #解压文件到/opt目录，对于.bin版本直接执行该文件即完成解压
mv /opt/jdk* /opt/java8_64    #重命名文件夹为java8_64

配置环境变量

vim /etc/profile

export JAVA_HOME=/opt/java8_64
export PATH=$JAVA_HOME/bin:$PATH
export CLASSPATH=$JAVA_HOME/lib

source /etc/profile

查看Java版本

java -version

2、下载WebGoad（v8.0.0.M14），其他高版本需要安装高版本JDK

https://github.com/WebGoat/WebGoat/releases

百度云盘下载地址

链接: https://pan.baidu.com/s/1FUCHE3uKuvggiDKbdcEJFw 提取码: r163

链接: https://pan.baidu.com/s/1C9Fekkw9f2qCG_SL0U3cNg 提取码: tccp

启动WebGoad

1> 默认监听127.0.0.10:8080地址

java -jar webgoat-server-8.0.0.M14.jar

2>自定义ip和端口可在启动时指定相应参数

java -jar webgoat-server-8.0.0.M14.jar --server.port=8000 --server.address=0.0.0.0

3>访问地址

http://127.0.0.1:8000/WebGoat/

搭建DVWA

安装前置条件说明

DVWA（Damn Vulnerable Web Application）是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用，旨在为安全专业人员测试自己的专业技能和工具提供合法的环境，帮助web开发者更好的理解web应用安全防范的过程。

1、安装运行环境

这里直接使用 LAMP 来达到 Linux + Apache + MySQL + PHP 的环境要求运行下面命令一路回车选择默认项，稍等片刻，即可完成安装（也可以自定义，数据库密码默认为root）

wget -c http://soft.vpser.net/lnmp/lnmp1.4.tar.gz && tar zxf lnmp1.4.tar.gz && cd lnmp1.4 && ./install.sh lamp

2、下载并安装DVWA

DVWA 的官方网站：http://www.dvwa.co.uk/
DVWA 的 Github 页面：https://github.com/ethicalhack3r/DVWA

wget https://github.com/ethicalhack3r/DVWA/archive/master.zip

将之前解压出的 DVWA 文件夹放入 /home/wwwroot/default/ （ LAMP 默认的网站目录）内，并改名为DVWA

此时访问 http://106.13.46.121/DVWA （我的 CentOS7 主机地址，请访问自己对应主机的IP，下同），会出现如下错误提示

DVWA System error - config file not found. Copy config/config.inc.php.dist to config/config.inc.php and configure to your environment.

根据提示，我们进入 /home/wwwroot/default/DVWA/config，使用 cp config.inc.php.dist config.inc.php 将配置文件复制一份，然后输入 vim config.inc.php 开始编辑配置文件，首先修改后再访问（自定义密码或者是root）

$_DVWA[ 'db_password' ] = 'apwd@center';

1>PHP function allow_url_include: Disabled

修改/usr/local/php/etc下的php.ini

allow_url_include=Off     改为     allow_url_include=on

重启LNPM

LNMP 状态管理: lnmp {start|stop|reload|restart|kill|status}

2>reCAPTCHA key: Missing

编辑/home/wwwroot/default/DVWA/config/config.inc.php这个配置文件

$_DVWA[ 'recaptcha_public_key' ] = '6LdJJlUUAAAAAH1Q6cTpZRQ2Ah8VpyzhnffD0mBb';
$_DVWA[ 'recaptcha_private_key' ] = '6LdJJlUUAAAAAM2a3HrgzLczqdYp4g05EqDs-W4K';

3>[User: root] Writable folder /home/wwwroot/default/DVWA/hackable/uploads/: No
[User: root] Writable file /home/wwwroot/default/DVWA/external/phpids/0.6/lib/IDS/tmp/phpids_log.txt: No

[User: root] Writable folder /home/wwwroot/default/DVWA/config: No

chmod 777 /home/wwwroot/default/DVWA/hackable/uploads
chmod 777  /home/wwwroot/default/DVWA/external/phpids/0.6/lib/IDS/tmp/phpids_log.txt
chmod 777 /home/wwwroot/default/DVWA/config 

点击下面创建数据库按钮进行登录（默认用户名：admin 密码：password）

在同一台服务器上安装

如果之前已经部署了WebGoat，80端口被占用，DVWA就起不起来了，需要修改80端口

修改/usr/local/apache/conf/httpd.conf配置中Listen 80，然后重启LNMP