WebGoat靶场实践（一）

写在开头：之前发布过此文章，但是像老太太裹脚布一样，所以今天闲暇之余做下整理并且加些内容。此外，以下内容所涉及WebGoat版本皆为M21，且大部分采用黑盒的方式。

WebGoat概述

WebGoat是OWASP组织研制出的用于进行web漏洞实验的Java靶场程序，用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上，当前提供的训练课程有30多个，其中包括：跨站点脚本攻击（XSS）、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。WebGoat提供了一系列web安全学习的教程，某些课程也给出了视频演示，指导用户利用这些漏洞进行攻击。

环境搭建

这个环境其实并不难搭建，windows，linux都可以，当然用docker镜像也是可以的，本人用的windows搭建的，由于本人愚笨，遇到了一堆问题，也会在接下来的笔记中贴出来。
附上下载地址：
> WebGoat下载地址
> github中的

本人下载的是M21版本的

步入正题，搭建前需要准备下jdk1.8以上的环境（很重要），本人刚开始就以以为安装了jre就可以，但是只是能启动并不能连接上，因为下载的webgoat里面集成了tomcat，所以一定要按部就班的安装好jdk并装好环境变量（步骤百度一大堆，直到cmd打javac能识别才算成功）
搭建完jdk环境后，到文件下载目录打开cmd

cmd下启动就好
命令：

java -jar webgoat-server-8.0.0.M21.jar

自定义端口命令：

java -jar webgoat-server-8.0.0.M21.jar --server.port=8888 --server.address=0.0.0.0

--server.port:指定端口，---server.address:指定地址，0.0.0.0是本地回环，如果搭建在云主机上可以直接复制我的命令

webwolf的启动与上述内容同理。

接下来就可以本地浏览器打开了：127.0.0.1:xxx/WebGoat(字母大小写敏感,默认端口为8080，webwolf默认端口为9090)
打开页面

直接注册就能使用了

本人在搭建的时候浪费很多时间，主要遇到的问题就jdk环境没有搭建好，认为可以启动jar就可以，导致做了半天无用功，其次就是由于在阿里云上搭建的，想要远程访问但是受限，最后解决办法：定义了防火墙规则，开启了相应的端口。

开始闯关

第一关General

Basics

这关就是介绍http相关内容，比较基础，黑色圈圈的课程，然后红色圈圈是小测，由于本人英语水平有限，所以就不翻译了，同学们下载后可以自行翻译研究。

接下来我们来到lesson2，随便输入就行，主要是为了体验处理http请求(POST)
简单提一下http的请求方法：

HTTP1.0 定义了三种请求方法： GET, POST 和 HEAD方法。
HTTP1.1 新增了六种请求方法：OPTIONS、PUT、PATCH、DELETE、TRACE 和 CONNECT 方法

lesson2：

完成：

lesson3

看介绍意思还需要判断他的传参方式，直接打开burp进行抓包

很有趣，抓包之后答案就一目了然了，直接输入答案

Proxies

lesson1-5主要介绍了下zap（一款owasp的安全工具，有兴趣可以百度了解下），然后我们直接来到lesson6

看问题描述，很简答，分别是更改传参方式，增加一个请求头，更改传参值

这里我们依然利用burp进行抓包，更改原始数据，通常利用这种方式对前端验证进行绕过

原始数据：

更改传参方式

增加请求头

更改传参值

过关

每天上午一更，未完待续。。。。