OWASP BWA靶机环境安装后必做的5件事:从SSH连接到MySQL密码修改全攻略
OWASP BWA靶机环境安装后必做的5件事:从SSH连接到MySQL密码修改全攻略
当你成功在VMware中部署OWASP Broken Web Applications(BWA)靶机环境后,真正的学习才刚刚开始。这个集成了30多个漏洞靶场的虚拟机是Web安全学习的绝佳平台,但许多用户在安装完成后往往不知道如何高效利用它。本文将带你完成五个关键配置步骤,让你的BWA环境从"能用"升级到"好用"。
1. 解决VMware终端的历史命令查看难题
初次使用BWA时,最令人困扰的莫过于在VMware控制台中无法完整查看之前输入的命令。当你在终端输入ifconfig或netstat -tulnp等长命令时,输出内容常常超出屏幕显示范围,而简单的滚动条操作在这里并不奏效。
解决方案其实很简单:使用Shift+PageUp和Shift+PageDown组合键可以上下翻页查看终端历史。但更专业的做法是配置screen工具:
apt-get install screen -y screen -S owasp安装后,你可以:
- 使用
Ctrl+A然后[进入滚动模式 - 上下方向键浏览历史
- 按
Esc退出滚动模式
提示:在screen会话中,即使断开SSH连接,再次登录后使用
screen -r owasp也能恢复之前的终端状态。
2. 配置SSH远程连接提升操作效率
长期依赖VMware控制台操作既不高效也不舒适。配置SSH远程访问后,你可以使用更强大的终端工具如Termius、Xshell或SecureCRT。
配置步骤:
首先确认BWA的IP地址:
ifconfig | grep "inet addr"确保SSH服务已启动:
service ssh status如果未运行,使用:
service ssh start从本地终端连接:
ssh root@[BWA_IP] -p 22默认密码为
owaspbwa
高级配置建议:
- 修改SSH默认端口增强安全性:
sed -i 's/#Port 22/Port 2222/' /etc/ssh/sshd_config service ssh restart - 使用密钥认证替代密码登录:
ssh-keygen -t rsa ssh-copy-id root@[BWA_IP]
3. 高效浏览和选择内置靶场
BWA包含了从简单到复杂的30多个漏洞靶场,如何快速找到适合当前学习目标的靶场是关键。
靶场分类速查表:
| 类别 | 代表靶场 | 适用技能 |
|---|---|---|
| 基础漏洞 | WebGoat、Mutillidae | SQL注入、XSS基础 |
| 高级漏洞 | DVWA、BodgeIt | CSRF、文件上传 |
| CTF挑战 | Hackxor、SecuriBench | 综合渗透测试 |
| 企业应用 | WordPress、Joomla | CMS安全测试 |
| 开发语言 | RailsGoat、NodeGoat | 特定语言安全 |
访问靶场的方式:
- 直接在浏览器输入BWA的IP地址
- 点击左侧导航栏的"OWASP BWA"链接
- 每个靶场旁的信息图标(ℹ)会显示详细说明
注意:某些靶场需要额外配置,如WebGoat可能需要先启动Tomcat服务。
4. 修改MySQL默认root密码的完整指南
BWA的MySQL数据库默认没有设置root密码,这在学习环境中存在安全隐患,特别是当你想练习数据库相关漏洞时。
安全修改密码的步骤:
首先停止MySQL服务:
service mysql stop以安全模式启动MySQL:
mysqld_safe --skip-grant-tables &连接MySQL并更新密码:
mysql -u root在MySQL提示符下执行:
UPDATE mysql.user SET authentication_string=PASSWORD('YourNewPassword') WHERE User='root'; FLUSH PRIVILEGES; exit;重启MySQL服务:
service mysql restart
验证密码修改是否成功:
mysql -u root -p输入新密码后应能正常登录。
5. 创建靶场使用快照与日常维护
完成上述配置后,建议为虚拟机创建快照,以便在后续练习中可以随时恢复到干净状态。
快照管理最佳实践:
创建基础快照:
- 命名为"Base Config with SSH"
- 包含所有初始配置但未修改任何靶场
特定靶场快照:
- 例如"DVWA Clean State"
- 在开始特定靶场练习前创建
定期维护:
apt-get update && apt-get upgrade -y更新后创建新快照"Updated Packages"
磁盘空间管理: BWA虚拟机可能随着使用逐渐占用更多磁盘空间,定期清理可以保持性能:
# 清理APT缓存 apt-get clean # 查找大文件 find / -type f -size +100M -exec ls -lh {} \;在实际使用中,我发现最有效的学习方式是针对每个靶场创建独立的学习笔记,记录发现的漏洞、利用方法和修复方案。例如,在练习Mutillidae靶场时,可以专门记录不同级别的SQL注入技巧,从简单的联合查询到基于时间的盲注。