Spring Boot可盈保险合同管理系统信息管理系统源码-SpringBoot后端+Vue前端+MySQL【可直接运行】
2026/1/22 4:35:57
零基础学安全:用 VMware 搭 3 个靶场,零成本练实战
对零基础学安全的人来说,最大的障碍不是 “看不懂理论”,而是 “没有可练手的环境”—— 网上教程多是 “纸上谈兵”,想找真实环境又怕违法,付费靶场又有成本压力。
其实用VMware(免费版)+ 开源靶场就能零成本搭建全套实战环境。本文精选 3 个靶场,覆盖 “Web 安全入门→系统渗透→CTF 综合”,从 VMware 安装到靶场部署全程手把手教,所有软件、镜像均为免费开源,零基础跟着做就能落地,再也不用 “光看不动”。
一、准备工作:先搞定 VMware(免费版)
零基础首选VMware Workstation Player(个人非商用免费),比 VirtualBox 更稳定,对新手友好。
1. 下载 VMware Workstation Player
官网下载:VMware Workstation Player 免费版
选择对应系统(Windows/macOS),注意:macOS 需区分 Intel 芯片和 M 系列芯片(M 系列需下载 “VMware Fusion Player”,同样免费)。
2. 安装 VMware(以 Windows 为例)
双击安装包,点击 “下一步”,勾选 “我接受许可协议”;
安装路径默认或自定义(建议不装 C 盘),取消勾选 “启动时检查更新”(新手可跳过);
点击 “安装”,等待完成后点击 “完成”,无需重启。
3. 关键配置:开启 CPU 虚拟化(必做!)
虚拟机启动需要 CPU 支持虚拟化,若未开启会报错,操作步骤:
重启电脑,开机时按快捷键进入 BIOS(联想按 F2,戴尔按 F12,惠普按 F10,具体看开机提示);
找到 “Virtualization Technology”(或 “虚拟化技术”),设置为 “Enabled”(开启);
按 F10 保存退出,电脑会自动重启,虚拟化开启成功。
二、靶场 1:DVWA(Web 安全入门首选)
适合场景:练 OWASP Top10(SQL 注入、XSS、文件上传等),零基础 Web 安全入门必学;
部署环境:Ubuntu Server 22.04(Linux 系统,免费镜像)+ LAMP(Apache+MySQL+PHP)+ DVWA 源码;
所需时间:1.5 小时。
1. 下载 Ubuntu Server 镜像(免费)
官网下载:Ubuntu Server 22.04 LTS
选择 “64-bit PC (AMD64) server install image”,下载 ISO 文件(约 1.5GB)。
2. VMware 创建 Ubuntu 虚拟机
打开 VMware,点击 “创建新虚拟机”;
选择 “安装程序光盘映像文件(ISO)”,点击 “浏览” 选择下载的 Ubuntu ISO 文件;
填写 “全名”“用户名”“密码”(记好,后续登录用),点击 “下一步”;
虚拟机名称自定义(如 “Ubuntu-DVWA”),位置选非 C 盘(建议剩余空间≥50GB);
磁盘大小设为 “50GB”,选择 “将虚拟磁盘存储为单个文件”,点击 “下一步”;
点击 “自定义硬件”,调整配置(新手建议):
内存:2GB(最低 1GB,避免卡顿);
处理器:2 核(根据主机 CPU 调整,不超过主机核心数的一半);
- 点击 “完成”,VMware 会自动启动虚拟机并开始安装 Ubuntu(约 15 分钟,期间无需操作)。
3. 部署 LAMP 环境(Web 服务基础)
Ubuntu 安装完成后,登录虚拟机(输入之前设置的用户名和密码),执行以下命令(复制粘贴即可,每步执行完再下一步):
- 更新系统软件:
sudo apt update && sudo apt upgrade -y- 安装 Apache(Web 服务器):
sudo apt install apache2 -y验证:在主机浏览器输入 “虚拟机 IP”(虚拟机中执行ip addr查看,如192.168.233.128),能看到 Apache 默认页面即成功。
- 安装 MySQL(数据库):
sudo apt install mysql-server -y初始化 MySQL(设置 root 密码,新手建议设为123456方便记忆):
sudo mysql_secure_installation按提示操作:输入y→选择密码强度(0低强度)→输入密码→一路按y确认。
- 安装 PHP(动态脚本语言):
sudo apt install php libapache2-mod-php php-mysql -y验证:创建 PHP 测试文件,在浏览器访问能看到 PHP 信息即成功:
sudo echo "<?php phpinfo(); ?>" > /var/www/html/test.php主机浏览器访问:http://虚拟机IP/test.php(如http://192.168.233.128/test.php)。
4. 部署 DVWA 源码
- 下载 DVWA 源码:
sudo apt install git -y # 安装git sudo git clone https://github.com/digininja/DVWA.git /var/www/html/dvwa- 配置 DVWA:
# 复制配置文件 sudo cp /var/www/html/dvwa/config/config.inc.php.dist /var/www/html/dvwa/config/config.inc.php # 修改数据库配置(适配MySQL) sudo sed -i 's/DB_USERNAME.*=.*/DB_USERNAME = "root";/' /var/www/html/dvwa/config/config.inc.php sudo sed -i 's/DB_PASSWORD.*=.*/DB_PASSWORD = "123456";/' /var/www/html/dvwa/config/config.inc.php # 设置文件夹权限(避免上传漏洞报错) sudo chown -R www-data:www-data /var/www/html/dvwa/hackable/uploads/ sudo chmod -R 777 /var/www/html/dvwa/hackable/uploads/- 访问 DVWA:
主机浏览器输入http://虚拟机IP/dvwa,点击 “Create / Reset Database”,输入默认账号admin、密码password登录,成功进入 DVWA 主页!
- 调整安全等级:
登录后点击左侧 “DVWA Security”,将 “Security Level” 设为Low(零基础从低等级开始,逐步提升)。
三、靶场 2:Metasploitable 3(系统渗透实战)
适合场景:练系统漏洞渗透(如 SSH 暴力破解、MS08-067、永恒之蓝)、Metasploit 工具使用;
部署优势:预配置好 10 + 系统漏洞,无需手动装漏洞,零基础开箱即用;
所需时间:30 分钟(主要是镜像下载时间)。
1. 下载 Metasploitable 3 镜像(免费)
Metasploitable 3 是预配置的虚拟机镜像(OVA 格式),直接导入 VMware 即可:
下载地址:Metasploitable 3 Windows 版(选 “virtualbox” 版本,VMware 也支持)
备用地址:GitHub 搜索 “metasploitable3”,从 Rapid7 官方仓库下载(约 8GB,建议用迅雷加速)。
2. VMware 导入 Metasploitable 3
打开 VMware,点击 “打开虚拟机”,选择下载的 OVA 文件(如metasploitable3-win2k8.ova);
虚拟机名称自定义(如 “Metasploitable3”),位置选非 C 盘(剩余空间≥100GB),点击 “导入”;
导入完成后,右键点击虚拟机→“设置”,调整配置:
内存:4GB(该靶场对内存要求较高,最低 2GB);
网络适配器:设为 “NAT 模式”(确保主机能 ping 通虚拟机);
- 点击 “开启此虚拟机”,等待系统启动(默认账号vagrant,密码vagrant)。
3. 实战练习方向(零基础入门)
- 端口扫描:主机用 Nmap 扫描虚拟机 IP(虚拟机中执行ipconfig查看),发现开放的高危端口(如 21 FTP、22 SSH、3389 RDP);
命令:nmap -sV 虚拟机IP(如nmap -sV 192.168.233.130)。
- SSH 暴力破解:用 Hydra 工具尝试破解 SSH 账号密码(默认账号vagrant,密码vagrant,练手用);
命令:hydra -l vagrant -P password.txt ssh://虚拟机IP(password.txt是密码字典,可网上下载简易字典)。
- Metasploit 漏洞利用:用 Metasploit 攻击 MS08-067 漏洞(经典 Windows 漏洞);
步骤:
msfconsole # 启动Metasploit use exploit/windows/smb/ms08_067_netapi # 选择漏洞模块 set RHOSTS 虚拟机IP # 设置目标IP set RPORT 445 # 设置端口 run # 执行攻击,成功获取shell四、靶场 3:CTFd(CTF 综合实战)
适合场景:练 CTF Web / 密码学 / 逆向题目,模拟真实 CTF 比赛环境;
部署方式:Docker 部署(比手动装环境简单 10 倍,零基础易上手);
所需时间:1 小时。
1. 准备 Docker 环境(安装在 Ubuntu 虚拟机中)
建议在之前搭建的 “Ubuntu-DVWA” 虚拟机中部署 CTFd,无需新建虚拟机:
- 安装 Docker 和 Docker Compose:
# 安装Docker sudo apt install docker.io -y sudo systemctl start docker sudo systemctl enable docker # 安装Docker Compose sudo apt install docker-compose -y # 给当前用户Docker权限(避免每次输sudo) sudo usermod -aG docker $USER重启虚拟机(sudo reboot),使权限生效。
2. 部署 CTFd
- 下载 CTFd 源码:
git clone https://github.com/CTFd/CTFd.git cd CTFd- 启动 CTFd:
docker-compose up -d # 后台启动,首次启动会下载镜像(约5分钟)- 访问 CTFd:
主机浏览器输入http://虚拟机IP:8000,进入 CTFd 初始化页面:
设置 “CTF 名称”(如 “我的 CTF 靶场”);
填写 “管理员账号密码”(记好);
点击 “完成设置”,成功进入 CTFd 主页!
3. 添加练手题目(零基础入门)
登录 CTFd 管理员账号,点击左侧 “Challenges”→“New Challenge”;
添加 Web 方向题目(示例):
题目名称:“简单 SQL 注入”;
类别:“Web”;
分值:100;
描述:“访问 http:// 虚拟机 IP/sqli.php,找到 flag”;
附件:可上传自己写的简单 SQL 注入页面(或用 DVWA 的 SQL 注入题目链接);
Flag:设置flag{sql_injection_123}(自定义);
- 点击 “Create”,题目添加完成,普通用户登录后即可开始做题,模拟 CTF 实战。
五、实战练习指南:3 个靶场怎么练?(零基础路线)
1. 入门阶段(1-2 周):主攻 DVWA
目标:掌握 OWASP Top10 基础漏洞的 “复现 + 利用”;
练习清单:
SQL 注入:用 Burp 抓包改参数,手动构造1’ or 1=1-- ,用 SQLMap 导出数据;
XSS:在 “XSS Reflected” 模块注入
,测试存储型 XSS;
文件上传:制作图片马,改后缀 + MIME 类型绕过,访问上传路径执行 PHP。
2. 进阶阶段(2-3 周):主攻 Metasploitable 3
目标:熟悉 Metasploit 工具,理解系统漏洞的利用逻辑;
练习清单:
扫描漏洞:用nmap --script vuln 虚拟机IP扫描高危漏洞;
利用永恒之蓝:用 Metasploit 的exploit/windows/smb/ms17_010_eternalblue模块获取 shell;
提权:获取普通 shell 后,用getsystem命令提权到管理员权限。
3. 综合阶段(3-4 周):主攻 CTFd
目标:整合 Web + 系统漏洞知识,培养 CTF 解题思维;
练习清单:
做自己添加的题目,模拟 “发现漏洞→利用漏洞→提交 flag” 流程;
下载 CTF 题库(如 “攻防世界新手区” 题目),导入 CTFd,逐步提升难度;
记录解题思路,形成自己的 CTF 笔记(后续简历可写)。
六、避坑指南:零基础常踩的 5 个问题
1. 问题 1:VMware 启动虚拟机报错 “Intel VT-x is disabled”
原因:CPU 虚拟化未开启(前面准备工作的关键步骤漏做);
解决:重启电脑进入 BIOS,开启 “Virtualization Technology”,具体步骤见本文 “准备工作 3”。
2. 问题 2:主机访问不了虚拟机(浏览器输 IP 打不开)
原因 1:虚拟机网络模式不对,选了 “仅主机模式”;
解决 1:右键虚拟机→“设置”→“网络适配器”→改为 “NAT 模式”;
原因 2:虚拟机防火墙拦截端口(如 Apache 的 80 端口);
解决 2:关闭 Ubuntu 防火墙:sudo ufw disable。
3. 问题 3:DVWA 登录后提示 “Could not connect to the database”
原因:MySQL 密码配置错误(DVWA 的 config 文件中密码与实际 MySQL 密码不一致);
解决:重新修改 DVWA 配置文件,确保DB_PASSWORD与 MySQL root 密码一致(本文中是123456)。
4. 问题 4:Metasploitable 3 启动后黑屏 / 卡顿
原因:内存分配不足(低于 2GB);
解决:关闭虚拟机,右键→“设置”→“内存” 改为 4GB,重新启动。
5. 问题 5:CTFd 启动后访问不了(8000 端口不通)
原因:Docker 容器未启动成功;
解决:执行docker-compose ps查看容器状态,若状态是 “Exit”,执行docker-compose restart重启,或查看日志:docker-compose logs。
七、总结:零成本实战的核心价值
这 3 个靶场覆盖了零基础学安全的 “核心场景”,且完全零成本:
DVWA:帮你打牢 Web 安全基础,理解漏洞本质;
Metasploitable 3:帮你入门系统渗透,熟悉工具使用;
CTFd:帮你整合知识,培养实战解题思维。
对零基础来说,“动手练” 比 “看 100 篇教程” 更有用 —— 搭建好这 3 个靶场,每天花 1 小时练 1 个漏洞,1 个月就能摆脱 “零基础” 标签,后续再学习更复杂的安全技术(如代码审计、应急响应)也会更轻松。
最后提醒:所有靶场仅用于本地学习,严禁用于未授权测试,培养合规意识是学安全的第一步!
学习资源
如果你是也准备转行学习网络安全(黑客)或者正在学习,这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你
知识库由360智榜样学习中心独家打造出品,旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力,熟练掌握基础攻防到深度对抗。
1、知识库价值
深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级防御策略,并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等,提供了独到的技术视角和实战验证过的对抗方案。
广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。
实战性: 知识库内容源于真实攻防对抗和大型演练实践,通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
2、 部分核心内容展示
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
内容组织紧密结合攻防场景,辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合,是你学习过程中好帮手。
1、网络安全意识
2、Linux操作系统
3、WEB架构基础与HTTP协议
4、Web渗透测试
5、渗透测试案例分享
6、渗透测试实战技巧
7、攻防对战实战
8、CTF之MISC实战讲解
3、适合学习的人群
一、基础适配人群
- 零基础转型者:适合计算机零基础但愿意系统学习的人群,资料覆盖从网络协议、操作系统到渗透测试的完整知识链;
- 开发/运维人员:具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能,实现职业方向拓展或者转行就业;
- 应届毕业生:计算机相关专业学生可通过资料构建完整的网络安全知识体系,缩短企业用人适应期;
二、能力提升适配
1、技术爱好者:适合对攻防技术有强烈兴趣,希望掌握漏洞挖掘、渗透测试等实战技能的学习者;
2、安全从业者:帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力;
3、合规需求者:包含等保规范、安全策略制定等内容,适合需要应对合规审计的企业人员;
因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传CSDN,朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】