0x01 前言

最近玩了一下Owasp juice shop，觉得挺有意思的，Owasp juice shop是一个有着很多漏洞靶场，一共有47关，难度各有不同，可以满足一下菜鸟的黑客梦想。

0x02 靶场搭建

Juice shop是个开源项目，源码可在github上获取（https://github.com/bkimminich/juice-shop），最为方便的还是使用docker来安装。我用的环境就是Ubuntu+docker。

下面介绍一下Ubuntu+docker的搭建方法

2.1 安装ubuntu

先用虚拟机安装一个ubuntu，我安装的是18.0版本64位的。

下载地址及安装方法：https://mp.weixin.qq.com/s?__biz=MzIwMjE1MjMyMw==&mid=2650199783&idx=1&sn=9043175abcff37ee4d839d7de7e2bfd6&chksm=8ee1760bb996ff1dfcd2020361d6333ca6300e83ffd65b828145adf28cc116618f55cb9fba6e&scene=21#wechat_redirect

2.2 在Ubuntu里安装docker

$sudo apt-get update

$sudo apt-get install docker

如果第一个命令执行不成功，就先不要执行第二个命令了，至于解决方法。。。自行百度吧。

安装完成后执行一下 docker –version，若能看到docker版本，则表示安装成功。

2.3 安装owasp juice shop

$sudo docker pull bkimminich/juice-shop 

2.4 运行owasp juice shop

$sudo docker run -d -p 3000:3000 bkimminich/juice-shop

然后用浏览器访问 虚拟机的ip地址:3000 ，如果出现下图则环境已配好

0x03 开始玩耍

第一关 #/score-board

Owasp juice shop 对新手很不友好，一开始看到这个界面我还以为是饮品店呢。

后来看到提示说按F12，然后查看网页源码发现页面#/score-board

然后访问此页面就可以看到所有的成就和每一关的要求，同时也通过了第一关。

通过的关卡有绿色标记。（这个截图是已经打过了几关的）

第二关 Error Handling

这一关主要让引发一个报错，首先想到的是找一个登陆框然后引发SQL语句的报错。

我这里输入了1’引发了报错，但好像因为某个环境没有配置对这里没有爆出SQL语句的错误。

第三关 Login Admin

这一关是让以管理的身份登陆，还是那个登陆框，用万能语句进行登陆


然后就登录进来了。

这次就先写到这，以后再接着写。