btslab官方介绍:

BTS PenTesting Lab is an open source vulnerable web application, created by Cyber Security & Privacy Foundation (www.cysecurity.org). It can be used to learn about many different types of web application vulnerabilities.

Currently, the app contains the following types of vulnerabilities:

(机翻)BTS PenTesting Lab是一个开源易受攻击的网络应用程序,由网络安全与隐私基金会(www.cysecurity.org)创建。它可以用来了解许多不同类型的web应用程序漏洞。

目前,该应用程序包含以下类型的漏洞:

  • SQL Injection
  • XSS(includes Flash Based xss)
  • CSRF
  • Clickjacking
  • SSRF
  • File Inclusion
  • Code Execution
  • Insecure Direct Object Reference
  • Unrestricted File Upload vulnerability
  • Open URL Redirection
  • Server Side Includes(SSI) Injection and more…

btslab安装:

下载小编提供的源码,或https://github.com/CSPF-Founder/btslab/releases/tag/0.1 访问下载,我们利用phpstudy进行搭建。

在phpstudy的www 的根目录下创建名称为btslab的文件夹,把下载的源码放入该文件夹中,修改config.php 数据库配置文件,默认账户密码root root

 

通过本机ip访问地址:127.0.0.1或者通过ipconfig查看本地如:192.168.x.x(防止后期抓包问题),访问 http://127.0.0.1/btslab/setup.php 地址点击setup,返回 The webApp has been installed successfully  即可安装成功。

如果成功后返回如下页面,说明php拓展或者mysql版本支持问题,小编在这里修改setup.php,文件代码如下

<?php include($_SERVER['DOCUMENT_ROOT'].'/btslab/header.php'); ?>
<?php

include($_SERVER['DOCUMENT_ROOT'].'/btslab/config.php');
if(isset($_POST['install']))
{
if($_POST['install']==1)
{
$con=mysqli_connect($db_server,$db_user,$db_password) or die("Connection Failure: ".mysqli_error()); //mysqli connection

//Database creation
mysqli_query("DROP DATABASE IF EXISTS $db_name") or die("Can't drop database".mysqli_error());
mysqli_query("CREATE DATABASE $db_name") or die("creating database fails".mysqli_error());
mysqli_select_db($db_name,$con);
//User Table creation
$sql="Create table users(ID int NOT NULL AUTO_INCREMENT, username varchar(30),email varchar(60), password varchar(40), about varchar(50),privilege varchar(20),avatar TEXT,primary key (id))";
mysqli_query($sql) or die("Failed to create Users Table".mysqli_error());

$hashedpassword=sha1("password");
mysqli_query("INSERT into users(username, password, email,About,avatar, privilege) values ('admin','$hashedpassword','admin@localhost','I am the admin of this page','default.jpg','admin')") or die("Not able to insert values".mysqli_error());;

//Posts table creation
mysqli_query("create table posts(postid int NOT NULL AUTO_INCREMENT, content TEXT,title varchar(100), user varchar(30), primary key (postid))") or die("Failed to create Posts Table".mysqli_error());
mysqli_query("INSERT into posts(content,title, user) values ('Feel free to ask any questions about BTS Lab','First Post', 'admin')") or die("Failed to insert post".mysqli_error());
mysqli_query("create table tdata(id int, page varchar(30))") or die("Failed to create tdata Table<br/>".mysqli_error());
mysqli_query("Insert into tdata values(1,'ext1.html')");
mysqli_query("Insert into tdata values(2,'ext2.html')");

//Messages Table Creation
$sql="Create table Messages(msgid int NOT NULL AUTO_INCREMENT,name varchar(30),email varchar(60), msg varchar(500),primary key (msgid))";
mysqli_query($sql) or die("Failed to create Messages Table".mysqli_error());
mysqli_query("INSERT into Messages(name,email, msg) values ('TestUser','Test@localhost', 'Hi admin, how are you')") or die("Failed to insert Messages".mysqli_error());


echo "<script>alert('The webApp has been installed successfully')</script> ";

mysqli_close();
}
}

?>


<p>
<form action="setup.php" method="post">
<input type="hidden" value="1" name="install"/>
<input type="submit" value="Setup" name="setup"/>
</form>
</p>

<br/>
Note:<br/><b style="color:red">If a database already exits, it will be dropped </b>

<?php include($_SERVER['DOCUMENT_ROOT'].'/btslab/footer.php'); ?>

 

之后访问首页,这样就成功了,快去快乐的玩耍吧。

 

发表回复

后才能评论

本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。

最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。 若排除这种情况,可在对应资源底部留言,或联络我们。

对于会员专享、整站源码、程序插件、网站模板、网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。

如果您已经成功付款但是网站没有弹出成功提示,请联系站长提供付款信息为您处理

源码素材属于虚拟商品,具有可复制性,可传播性,一旦授予,不接受任何形式的退款、换货要求。请您在购买获取之前确认好 是您所需要的资源

请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。