OWASP Mutillidae是一个免费,开源的Web应用程序,提供专门被允许的安全测试和入侵的Web应用程序。它是由Adrian “Irongeek” Crenshaw和Jeremy “webpwnized” Druin.开发的一款自由和开放源码的Web应用程序。其中包含了丰富的渗透测试项目,如SQL注入、跨站脚本、clickjacking、本地文件包含、远程代码执行等。
OWASP Mutillidae可以使用LAMP,WAMP和XAMMP在Linux和Windows上安装Mutillidae。它预装在SamuraiWTF和OWASP BWA上。
一、OWASP Mutillidae下载
现在版本已经是“OWASP Mutillidae II”了,下载地址:https://github.com/webpwnized/mutillidae
二、OWASP Mutillidae安装
在安装前,需要做一个准备工作,我们先去做一个PHP+Mysql的环境搭建。
1、下载、安装、启动phpstudy(www.phpstudy.net)。
phpStudy是一个PHP调试环境的程序集成包。恰好我们可以用到"PHP+Mysql+Apache"。
2、将下载的mutillidae解压到phpstudy网站根目录下。
例如:我这解压后的路径是“F:\phpStudy\WWW\mutillidae\”。
3、将 database-config.inc 复制一份或重命令为 database-config.php;
例如:我的配置文件路径是“F:\phpStudy\WWW\mutillidae\includes”。
4、修改 database-config.php 里代码如下:
<?php
define('DB_HOST', '127.0.0.1');
define('DB_USERNAME', 'root');
define('DB_PASSWORD', 'root');
define('DB_NAME', 'mutillidae');
?>因为phpstudy默认的mysql数据库地址是“127.0.0.1 或 localhost",用户名和密码都是"root"。主要是修改’DB_PASSWORD‘为root,这里很重要,修改后自然是需要保存文件的,这个不用说相信大家也能知道。
5、启动phpstudy,打开“http://127.0.0.1/mutillidae/”;
由于是第一次打开,会跳转到“http://127.0.0.1/mutillidae/database-offline.php”;
注意:如果碰上“http://127.0.0.1/mutillidae/”打不开,报500错误(Internal Server Error),请自动切换版本,例如:我切换到"php-5.5.38+apache"即可正常!
6、设置或重置数据库
三、OWASP Mutillidae使用
1、进入“http://127.0.0.1/mutillidae/”首页,列出所有的漏洞;
2、我如何选择哪个漏洞进行实验?按照下图直接选择就行了。
例如:我是进入OWAZP 2017 - SQL注入;还有OWASP 2013、2010、2007;
由于打开本身应该是英文的,我用网页翻译了一下,结果成上图的样子,也是为了方便大家看一下支持有哪些漏洞?可以清楚的知道OWASP Mutillidae II漏洞包括:点击劫持、本地文件包含、文件上传、SQL注入、LDAP注入、JavaScript注入、跨站点请求伪造、拒绝服务、用户名枚举等漏洞。
同时,Mutillidae跟DVWA一样,也支持“程序安全等级”切换,不过Mutillidae只有三个等级,分别是0、1、5三个安全等级。
最后一张图已经说明了Mutillidae如何切换安全等级?
