0x00 靶场介绍

bwapp是一款非常好用的漏洞演示平台，包含有100多个漏洞。开源的php应用后台Mysql数据库。

0x01 安装

BWAPP有两种安装方式，一种是单独安装，需部署在Apache＋PHP＋Mysql环境下；一种是虚拟机导入，下载后直接用VMWare打开即可。

下面分别介绍两种方式的安装方法。

1. 单独安装

由于需要部署在Apache＋PHP＋Mysql环境下，我们可以直接使用集成环境，这里笔者使用的是PHPStudy，PHPStudy的安装及使用在此就不做介绍了。

（1）下载链接：

https://sourceforge.net/projects/bwapp/files/latest/download

（2）安装步骤：

Ａ．下载后解压文件，将文件放在WWW目录下

Ｂ．在admin/settings．php下更改数据库连接设置

 同时也能在文件下方看到默认登录账户名及密码，可按需更改

Ｃ．运行PHPStudy，然后在浏览器打开http://127.0.0.1/bWAPP/install.php

点击here创建数据库

Ｄ．安装成功，进入靶场主界面

（3）使用方法：

账户名及密码：bee/bug

可在右上方选择漏洞和安全级别进行测试

2. 虚拟机安装

虚拟机版本能够测试的漏洞更多，比如破壳漏洞，心脏滴血漏洞等在单独安装的环境下无法测试。

（1）下载链接：

https://sourceforge.net/projects/bwapp/files/bee-box/bee-box_v1.6.7z/download

（2）安装步骤

下载后解压，打开VMWare，在打开虚拟机选项中进入bee－box文件选择bee－box．vmx即可。选择NAT模式，开启虚拟机即可进入主界面

（3）使用方法：

登录：bee/bug；安全等级可选；低-中-高

方法一：直接在bee-box虚拟机中使用，点击bWAPP-Start即可进入登陆页面,登录后在右上方找到XXE漏洞，选择测试等级

方法二：查看虚拟机IP，在物理机浏览器访问http://虚拟机IP地址/bWAPP/login.php进行登录，登录后在右上方找到XXE漏洞，选择测试等级