OWASP Juice Shop是一个专门用于安全技能训练的靶场环境
安装完成后的界面:
- Score Board
这题的意思是找到一个隐藏的计分界面,通过查看网页源代码可查出
之后打开页面即可 - Admin Section&Error Handling
访问商店管理部分。这个网站一用工具爆破就会崩溃,所以这里采用手工,在试了admin和administrator之后皆不成功,百度找了一下还有administration,尝试,成功 - Password Strength
登陆管理员用户,点击登陆,构造语句
成功登陆 - Five-Star Feedback
将所有5星反馈全部删除即可
完成 - XSS Tier 1
往页面插入恶意代码,随意找一个框,构造语句<script>alert("XSS")</script>
Enter,完成 - Zero Stars
最简单的一个,随意登陆一个用户,在"联系我们"处,随意发一个反馈,然后将数据包内容更改
将“2”改为0即可 - Basket Access
进入别人的购物篮,很简单,只需要改包即可
将"1"改为其他数字,发送即可 - Password Strength
规定使用密码登陆,不用语句。打开工具密码爆破,得出密码为admin123,在回到登陆界面,登陆即可完成 Reset Jim‘s Password通过上一道题可以得出邮箱是"@juice-sh.op",打开登陆界面,点击忘记密码,输入邮箱
br/>通过上一道题可以得出邮箱是"@juice-sh.op",打开登陆界面,点击忘记密码,输入邮箱这里面的Samuel来自于星战梗
- Login Jim
上面改了用户Jim的密码后直接登陆即可
总结
这个渗透环境包含了许多有代表性的漏洞,在许多漏洞上也需要通过抓取数据包来分析,由于自身的技术不够,所以只解决了上面这些题目,不得不说这个环境对于初入这方面的人来说是不错的
OWASP Juice Shop v6.4.1部分题目答案
原文地址:http://blog.51cto.com/10506646/2067233