iMoon07/OWASP-Lab-Toolkit

GitHub: iMoon07/OWASP-Lab-Toolkit

一个基于 Bash 的自动化部署工具包，用于在 Ubuntu Server 上一键搭建包含 9 个漏洞应用的安全练习实验室。

Stars: 4 | Forks: 1


  \__/         \__/         \__/

  (oo)         (o-)         (@@)

 //||\\       //||\\       //||\\

  bug          bug          bug

             winking      hangover

\__/         \__/         \__/

(xx)         (--)         (OO)

//||\\       //||\\       //||\\

dead         bug          bug

bug        sleep        female


     く__,.ヘヽ.        /  ,ー､ 〉

          ＼ ', !-─‐-i  /  /´

          ／`ｰ'     L/／`ヽ､

        /   ／,  /|  ,  ,       ',

       ｲ   / /-‐/  ｉ  L_ ﾊ ヽ!   i

        ﾚ ﾍ 7ｲ`ﾄ  ﾚ'ｧ-ﾄ､!ハ|    |

         !,/7 '0'    ´0iソ|         |

         |.从"    _    ,,,, / |./    |

         ﾚ'| i＞.､,,__  _,.イ /   .i   |

          ﾚ'| | / k_７_/ﾚ'ヽ,  ﾊ.  |

            | |/i 〈|/  i  ,.ﾍ |  i  |

           .|/ /  ｉ：   ﾍ!    ＼  |

          kヽ>､ﾊ   _,.ﾍ､   /､!

           !'〈//`Ｔ´', ＼ `'7'ｰr'

           ﾚ'ヽL__|___i,___,ンﾚ|ノ

              ﾄ-,/  |___./

              'ｰ'    !_,.:

# 🛡️ OWASP 实验工具包 v1.0 **一个简单的 bash 工具包，用于在 Ubuntu Server 上部署 Web 漏洞实验室。非常适合初学者和教师。它会自动安装 9 个包含漏洞的应用程序（共含 401 个漏洞）、所需的服务器组件以及自定义的本地域名，供您安全地进行黑客练习。** ### 🐛 练习利用以下漏洞： `SQL Injection (SQLi)` · `Cross-Site Scripting (XSS)` · `Command Injection` · `LFI / RFI` · `CSRF` · `SSRF` · `IDOR` · `XXE` · `Broken Access Control` · `Security Misconfigurations` · *以及数百个其他漏洞...* [![平台](https://img.shields.io/badge/platform-Ubuntu%20Linux-E95420?style=for-the-badge&logo=ubuntu&logoColor=white)](https://ubuntu.com/) [![目标](https://img.shields.io/badge/targets-9%20total-brightgreen?style=for-the-badge)](https://github.com/iMoon07/OWASP-Lab-Toolkit) [![脚本](https://img.shields.io/badge/scripts-4-blue?style=for-the-badge)](https://github.com/iMoon07/OWASP-Lab-Toolkit) [![教程](https://img.shields.io/badge/tutorial-YouTube-FF0000?style=for-the-badge&logo=youtube&logoColor=white)](https://www.youtube.com/watch?v=yzi524y9Tbk) **正在寻找攻击该实验室的实战工具？** 请查看 [Bugbounty 工具包](https://github.com/iMoon07/bugbounty-toolkit)。

## 📁 脚本概述 | 脚本 | 描述 | |--------|-------------| | [`install-owasp-lab.sh`](#-installation) | 完整安装程序 —— 构建 OS 组件并部署所有包含漏洞的靶机 | | [`check-owasp-lab.sh`](#-health-check) | 健康检查工具 —— 实时 HTTP 检查与服务监控 | | [`update-owasp-lab.sh`](#-updating) | 更新程序 —— 拉取最新的 Github 仓库并重建数据库 | | [`uninstall-owasp-lab.sh`](#-uninstallation) | 卸载程序 —— 安全清除整个实验室并恢复 OS | ## 🎯 在 Dojo 中像专家一样黑客攻击 —— 9 个包含漏洞的应用程序 | 应用程序 | 引擎 | 本地域名 | |-------------|--------|--------------| | [Mutillidae II](https://github.com/webpwnized/mutillidae) | PHP 8.3 | `mutillidae.owasp.hacking` | | [DVWA](https://github.com/digininja/DVWA) | PHP 8.3 | `dvwa.owasp.hacking` | | [bWAPP](https://github.com/iMoon07/bWAPPs) | PHP 8.3 | `bwapp.owasp.hacking` | | [XVWA](https://github.com/s4n7h0/xvwa) | PHP 8.3 | `xvwa.owasp.hacking` | | [VWA](https://github.com/hummingbirdscyber/Vulnerable-Web-Application) | PHP 8.3 | `vwa.owasp.hacking` | | [Juice Shop](https://github.com/juice-shop/juice-shop) | Node.js | `juiceshop.owasp.hacking` | | [WebGoat](https://github.com/WebGoat/WebGoat) | Java 21 | `webgoat.owasp.hacking` | | [WebWolf](https://github.com/WebGoat/WebWolf) | Java 21 | `webwolf.owasp.hacking` | | [Apache Tomcat](https://tomcat.apache.org/) | Java 21 | `tomcat.owasp.hacking` | ## ⚙️ 核心基础组件栈通过 PPA 和官方源自动安装。由 `systemctl` 管理。 | 组件栈 | 版本详情 | |-----------------|----------------| | **Nginx** | `latest` (前端路由) | | **Apache2** | `latest` (后端 PHP 服务器) | | **PHP** | `PHP 8.3` (Ondrej PPA) | | **MariaDB** | `MariaDB 11.4` (官方源) | | **Node.js** | `Node 20.x LTS` (NodeSource) | | **Java** | `Temurin JDK 21` (Adoptium) | ## 🚀 安装与使用 ### 1. 前置条件 - **OS:** Ubuntu 22.04 / 24.04 LTS（需要 `root` / `sudo` 权限） - **硬件:** 最低 2GB 内存（推荐 4GB），1 个 vCPU，20 GB 磁盘空间。 ### 2. 部署克隆仓库并运行核心安装程序： ``` git clone https://github.com/iMoon07/OWASP-Lab-Toolkit.git cd OWASP-Lab-Toolkit chmod +x *.sh sudo ./install-owasp-lab.sh ``` ### 3. 验证运行检查脚本以验证所有服务是否处于活动状态并响应 `HTTP 200 OK`： ``` sudo ./check-owasp-lab.sh ``` ## ⚠️ 免责声明 **警告：** 此工具包会配置带有严重漏洞的应用程序，设置弱数据库凭据，并故意降低系统安全限制（`allow_url_include = On`）。 - **切勿**将其部署在公网可访问的 VPS 或生产环境中。 - 其设计**专用于隔离的本地虚拟机 (VM)**，仅供教育和渗透测试研究目的使用。 *如果您觉得此工具包对您的黑客学习有所帮助，请不要忘记给仓库点个 Star！* ⭐