洞一
01CyberSecurity
学了那么多久的web安全还是在src挖不到漏洞?
领导安排的授权网站迟迟没有结果?
熬夜写了那么久的代码,在交付系统时领导却说我的系统漏洞多多?
既然你有以上这些疑问,
那此时应该让我闪亮登场。
炼石计划之漏洞仿真环境练习开始啦
耐心看完,你会觉得还蛮有趣的
#01
炼石计划
什么是炼石计划
炼石计划是由“洞一CyberSecurity”团队推出的漏洞实战教程。
该计划已跟多个公众号达成合作,会持续监督炼石计划课程的分享。
既然大家参与了,我们就要把这事做好。
炼石计划。炼石完成,方能补天。
炼石计划核心三大内容:
原创WEB安全入门文章课程,漏洞复现课程,漏洞仿真环境练习课程。
1、关于原创WEB安全入门文章课程(已分享80%):
原创WEB安全入门课程,零基础朋友可以很快上手学习。有一点基础的朋友可以巩固一下。
具体课程如下图所示:
2、关于漏洞复现课程(已全部分享完毕):
学完WEB安全入门课程,有必要进一步动手练习。漏洞复现是提升自己很有必要的一个过程。漏洞复现课程一共15套(文章加视频),跟着教程练习,让你深入理解WEB安全漏洞。
3、关于漏洞仿真环境练习课程(如火如荼进行ing):
简单来说,就是让大家在主流的Java框架搭建的网站(比如:springboot,springcloud等)下进行漏洞挖掘的练习,以及代码审计的练习。从而了解在主流Java框架环境下是如何挖掘漏洞的,如何进行代码审计的。
每期会给大家网站源代码,并交给你如何大家,在自己的电脑下搭建好环境,然后进行随心所欲的练习。
关于“漏洞仿真环境”,下面有详细介绍。
关于炼石计划其他内容,可点击下方链接进行了解
大家各用自己炼石能力,尽自己微薄之力共同补上网络安全边疆这片天。
开启了这一计划,目的是为了让大家能提升真正的漏洞挖掘能力和代码审计能力。
#02
漏洞仿真环境
Java主流框架的更新迭代,
让大家面对Java开发的网站不知从何下手。
基于此
"漏洞仿真环境",是采用Java主流框架并整合比较流行的组件所开发的一个真实系统,但又特意构造了一些存在漏洞的功能点,模拟还原出开发人员因粗心或安全意识不足导致系统存在安全漏洞的真实环境,以便于大家进行漏洞挖掘练习和代码审计的学习。
了解学习主流架构系统网站对于提升自己漏洞挖掘和代码审计两者硬实力是非常有必要的。
漏洞仿真环境练习计划循序渐进,总共开设六期课程,每期构造不同的漏洞仿真环境,每期都会让你练习到不同的主流漏洞。从黑盒(渗透)和白盒(代码审计)测试两个角度出发,互相辅助,让你更有所获。
每期练习结束,附带讲解视频,从搭建开始介绍,到相关框架或组件介绍,然后进入黑盒和白盒测试的思路讲解,最后讲讲如何修复。
让我来打通你的任督二脉。
给自己一些时间,
让自己成为一名优秀的白帽子。
进入正题
#03
任务背景
随我正式进入仿真漏洞环境第一期吧
为了让练习更有真实感,
写了个任务背景,然后就是玩法说明
我是一名刚刚毕业的女程序猿,技术不是很过关还有些粗心。前一阵,老板要求我做一款后台管理系统,还强调要用到目前比较流行的技术和框架,比如Spring Boot,Springsecurity,Mybatis等等。
作为新时代农民工,领导的话就是圣旨。在我熬了几个日夜,掉了一撮又一撮头发后,终于开发完了后台管理系统。美滋滋的我,拿去成品给领导演示,领导一个致命的问题让我陷入了沉思。他说你的后台管理系统安全性怎么样?如果遇见黑客攻击你是怎么防御的?
连代码还写不利索的我,让我再将管理系统的安全性提高,那岂不让我秃头?
万般无奈下,经历了百度谷歌的辗转。最终让我了解到了你们这群厉害牛鼻让人崇拜的白帽黑客小哥哥们~
因此,恳求正义的白帽黑客们,帮帮我,帮我的系统找找安全漏洞吧。
我还没有男朋友,我不想秃头,呜呜呜呜~
以上任务背景纯属虚构,如有雷同,纯属巧合。就是为了有个代入感。哈哈。
#04
第一期
玩法说明
第一期我用了主流的Springboot框架整合了Springsecurity,mybatis等组件,搭建了一款后台管理系统,让大家从漏洞挖掘和代码审计两个角度出发进行练习。
我已在一些功能点处留下漏洞或者错误的配置,等着你耐心的去发现,去测试,手法不限,要求能尽可能的去发现一些漏洞。
下面是搭建教程,赶紧搞起来。
#05
搭建教程
摒弃了一键部署方式,让你跟随教程从零搭建部署环境然后再进行漏洞挖掘。这样可以让你对整个系统有个更全面的认知。
Windows10
Java
Maven
Mysql
IDEA
版本信息
Java版本如下图所示:
Maven版本如下图所示:
Mysql我采用的是PHPstudy内的,一键开启使用,方便快捷。
IDEA大家可采用官网试用30进行练习
开启环境
1、导入项目,选择项目文件中pom.xml后导入整个项目
2、Mysql导入rbac.sql文件。首先创建一个名为rbac的数据库,并切换使用该数据库。
3、导入rbac.sql文件(注意路径中的反斜杠)。
4、在resources/application.yml文件中配置Mysql账户密码
5、点击启动项目,访问"内网IP:8088",即可开始练习。
启动成功截图,如下图所示:
注意事项
1、从小姐姐口中得知账号为admin,但是密码她给忘记了
2、所以你要想办法先进入系统才可以进行漏洞挖掘。
3、尝试对该系统进行全量渗透测试,尽情发挥吧。
4、首次导入项目,耐心等待一会,maven会根据pom.xml加载一些依赖包。
5、如果实在超级慢,可以将maven设置国内源。
#06
获取方式
获取漏洞仿真环境源代码
即可酣畅淋漓进行漏洞挖掘练习
方式一
扫描下方二维码,
即可参与本次以及后续漏洞仿真环境练习
关于炼石计划,可点击下方链接更详细了解
点我了解炼石计划详情,点我点我点我方式二
订阅号回复“xq”,了解玄魂星球(更多丰富的内容),即可参与本次以及后续漏洞仿真环境练习。
1、学了那么久WEB安全基础不知道如何进一步学习的朋友们。
2、还在上学的朋友们想提升自己的实力可以用于安服/渗透工作的。
3、想入门学习代码审计却不知道如何开始的朋友们
4、擅长开发的朋友,可能对安全漏洞不太了解,想基于代码层次了解一下的。
5、想要为祖国网络安全边疆建设的朋友们,这是我们共同的目标
6、热爱网络安全,痴迷于技术的你。
有问题联系我