OWASP Mutillidae II(web漏洞環(huán)境搭建)下載及使用方法介紹

OWASP Mutillidae II是一個免費(fèi)，開源的Web應(yīng)用程序，提供專門被允許的安全測試和入侵的Web應(yīng)用程序。它是由Adrian “Irongeek” Crenshaw和Jeremy “webpwnized” Druin.開發(fā)的一款自由和開放源碼的Web應(yīng)用程序。其中包含了豐富的滲透測試項(xiàng)目，如SQL注入、跨站腳本、clickjacking、本地文件包含、遠(yuǎn)程代碼執(zhí)行等。

mutillidae可以使用LAMP，WAMP和XAMMP在Linux和Windows上安裝Mutillidae。它預(yù)裝在SamuraiWTF和OWASP BWA上。

一、Mutillidae下載

現(xiàn)在版本已經(jīng)是“OWASP Mutillidae II”了。

二、Mutillidae安裝

在安裝前，需要做一個準(zhǔn)備工作，我們先去做一個PHP+Mysql的環(huán)境搭建。

1、下載、安裝、啟動PhpStudy。

phpStudy是一個PHP調(diào)試環(huán)境的程序集成包。恰好我們可以用到"PHP+Mysql+Apache"。

2、將下載的mutillidae解壓到phpstudy網(wǎng)站根目錄下。

例如：我這解壓后的路徑是“F:\phpStudy\WWW\mutillidae\”。

3、將 database-config.inc 復(fù)制一份或重命令為 database-config.php;

例如：我的配置文件路徑是“F:\phpStudy\WWW\mutillidae\includes”。

4、修改 database-config.php 里代碼如下：

define('DB_HOST', '127.0.0.1');

define('DB_USERNAME', 'root');

define('DB_PASSWORD', 'root');

define('DB_NAME', 'mutillidae');

?>

因?yàn)閜hpstudy默認(rèn)的mysql數(shù)據(jù)庫地址是“127.0.0.1 或 localhost"，用戶名和密碼都是"root"。主要是修改’DB_PASSWORD‘為root，這里很重要，修改后自然是需要保存文件的，這個不用說相信大家也能知道。

5、啟動phpstudy，打開“http://127.0.0.1/mutillidae/”;

由于是第一次打開，會跳轉(zhuǎn)到“http://127.0.0.1/mutillidae/database-offline.php”;

注意：如果碰上“http://127.0.0.1/mutillidae/”打不開，報500錯誤(Internal Server Error)，請自動切換版本，例如：我切換到"php-5.5.38+apache"即可正常!

6、設(shè)置或重置數(shù)據(jù)庫

7、進(jìn)入“http://127.0.0.1/mutillidae/”首頁，列出所有的漏洞;

8、mutillidae如何選擇哪個漏洞進(jìn)行實(shí)驗(yàn)?按照下圖直接選擇就行了。

例如：我是進(jìn)入OWAZP 2017 - SQL注入;還有OWASP 2013、2010、2007;

由于打開本身應(yīng)該是英文的，我用網(wǎng)頁翻譯了一下，結(jié)果成上圖的樣子，也是為了方便大家看一下支持有哪些漏洞?可以清楚的知道OWASP Mutillidae II漏洞包括：點(diǎn)擊劫持、本地文件包含、文件上傳、SQL注入、LDAP注入、JavaScript注入、跨站點(diǎn)請求偽造、拒絕服務(wù)、用戶名枚舉等漏洞。

同時，Mutillidae跟DVWA一樣，也支持“程序安全等級”切換，不過Mutillidae只有三個等級，分別是0、1、5三個安全等級。

最后一張圖已經(jīng)說明了Mutillidae如何切換安全等級?