安装配置docker&maven环境
Docker是什么
Docker 是一个开源的应用容器引擎。
Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。
docker三个基本概念
- Image(镜像)
- Container(容器)
- Repository(仓库)
我们可以通过安装Docker,结合著名的漏洞环境集合Vulhub,快速的来搭建我们想要的漏洞验证环境。因Vulhub是基于Docker和Docker-compose来搭建的。安全人员可以极其便利地使用Docker生成一个带有特定漏洞的容器进行调试分析,从而减少在环境配置上的时间消耗,更专注于研究漏洞本身。
Docker的下载与安装
不同系统下的docker的下载与安装
https://www.runoob.com/docker/ubuntu-docker-install.html
|
我们这里以macos
系统安装为例,mac可以选择brew
安装也可以直接选择手动安装,这里我们选择手动安装
https://docs.docker.com/desktop/install/mac-install/
|
跟其他软件安装一样,直接按照提示即可,最后我们可以在应用中看到Docker 图标,点击运行即可
查看docker安装版本命令
docker --version
|
Docker基本使用方法
在docker开启后,可以使用命令行方式进行镜像的搜索、拉取、查看等,或者容器的开启与关闭等操作。
搜索镜像
search命令可以搜索指定名称和仓库的镜像,例如搜索tomcat的镜像
docker search tomcat
|
拉取镜像
pull 命令可以拉取指定仓库和名称以及标签的镜像。当未指定所获取镜像的tags(标签)时,则自动拉取latest(最新)版本的镜像。
docker pull dordoka/tomcat
|
查看镜像
images命令可以读取已经拉取到本地的镜像文件,并列出镜像所存放仓库名、TAG标签、镜像编号、创建时间以及镜像大小。
docker images
|
删除镜像
rmi指令可以删除已经拉取到本地的镜像,记得在删除镜像前需要先停止容器
docker rmi 镜像名
|
生成容器
run指令可以以指定的镜像为模板生成对应的容器。我们这里启动一个Tomcat的容器,希望可以访问它的8080端口,并在容器启动后在后台默默运行
docker run --name my_tomcat -it -d -p 8080:8080 tomcat
|
查看容器
docker ps
|
停止容器
docker stop CONTAINER ID
|
启动容器
docker start CONTAINER ID
|
进入容器
docker exec -it [CONTAINER ID] /bin/bash
|
退出容器
exit
|
删除容器
docker rm [CONTAINER ID]
|
使用Vulhub快速搭建漏洞环境
** Vulhub的下载与安装**
Vulhub Github地址:https://github.com/vulhub/vulhub
下载并解压Vulhub后,可以看到相应的漏洞环境,我们要启动对应的漏洞环境只需进入相应的文件夹使用Docker-compose命令启动即可。
启动漏洞环境
本次使用CVE-2020-1938为例,进入到相对应的文件夹后,编译完环境后使用docker-compose up –d启动命令会根据该文件夹中的docker-compose.yml定义将相应的镜像拉取到本地,并且会自动启动容器以及进行必要的端口映射。
# 自动化编译环境
|
启动后访问其8080端口即可
Maven基础知识及掌握
Maven是一个项目构建工具,可以对Java项目进行构建和管理,也可以用于各种项目的构建和管理。
pom.xml文件介绍
pom.xml文件使用XML文件结构,该文件用于管理源代码、配置文件、开发者的信息和角色、问题追踪系统、组织信息、项目授权、项目的url、项目的依赖关系等。Maven项目中必须包含pom.xml文件。了解pom.xml文件结构有助于审计应用程序中所依赖的组件和发掘隐藏风险。
pom.xml定义依赖关系
pom.xml文件中的dependencies和dependency用于定义依赖关系,dependency通过groupId、artifactId以及version来定义所依赖的项目。引入Fastjson 1.2.24版本组件的Maven配置信息。其中groupId、artifactId和version共同描述了所依赖项目的唯一标志。
Maven的使用
IDEA中可以在新建项目时选择创建Maven项目。选择创建Maven项目,右侧窗口显示的是Maven项目的模板。直接使用默认模板并单击“Next”按钮,填写Name(项目名称)和Location(项目保存路径)后单击“Finish”按钮,即可完成项目的创建。
创建完成的Maven项目中包含该pom.xml文件。pom.xml文件描述了项目的Maven坐标、依赖关系、开发者需要遵循的规则、缺陷管理系统、组织以及licenses,还有其他所有的项目相关因素。对于我们代码审计来说,可以从pom.xml中快速的审查当前Java应用程序中是否使用了存在安全隐患的组建,以及快速的搭建特定版本的漏洞环境。
这里以搭建Fastjson 1.2.24之前版本的反序列化漏洞环境,需要引入版本小于1.2.24的Fastjson组件为例,引入Fastjson相应版本后右键单击pom.xml文件选择“Maven”选项,进行组件的自动获取。
关注 至察助安 ,专注网络安全优质知识分享,无优质,不分享。