一篇文章带你入门漏洞靶场：从 0 到 1 玩转 bWAPP（附完整安装教程）

bWAPP 是什么？为什么它这么适合新手？

bWAPP（Buggy Web Application），顾名思义，就是一个“故意写满漏洞的网站”。

它的核心作用只有一个：

让你练漏洞。

1. 它到底能干嘛？

bWAPP 内置了100+ 常见 Web 漏洞场景，包括：

• SQL 注入（SQL Injection）

• XSS（跨站脚本攻击）

• 文件上传漏洞

• 命令执行

• CSRF

• XXE（XML 外部实体注入）

• SSRF

• Open Redirect

也就是说：

你在课上学到的那些“攻击方式”， 在这里基本都能亲手操作一遍。

2. 它最大的优点：分级难度

bWAPP 很贴心的一点是：

它提供了三种安全等级：

• low（低）

• medium（中）

• high（高）

这意味着什么？

同一个漏洞，你可以：

• 在 low 模式下理解原理

• 在 medium 模式下尝试绕过

• 在 high 模式下挑战真实防护

这比单纯看书强太多了。

3. 为什么老师都爱用它？

一句话总结：

因为它“刚刚好”。

• 不像真实网站那么复杂

• 也不像教学案例那么简单

• 每个漏洞都“可控 + 可复现”

对于初学者来说，它就是：

从“看懂漏洞”到“会打漏洞”的桥梁

二、为什么推荐用虚拟机版本？

我一开始也想直接本地搭建（Apache + PHP + MySQL）， 但很快发现一个问题：

很多漏洞根本跑不起来。

比如：

• 心脏滴血漏洞（Heartbleed）

• Shellshock（破壳漏洞）

这些漏洞依赖特定环境，本地搭建很难复现。

所以更推荐：bee-box 虚拟机版本

bee-box 是官方提供的一个“开箱即用”的环境，里面已经：

• 配好了 Web 服务

• 配好了数据库

• 集成了 bWAPP

• 配好了漏洞环境

你只需要：

下载 → 导入 → 启动 → 开始练

非常适合新手。

三、手把手教你搭建 bWAPP（虚拟机版）

下面是我自己实际走过的一套流程，基本零踩坑。

（1）下载 bee-box

下载地址：

https://sourceforge.net/projects/bwapp/files/bee-box/bee-box_v1.6.7z/download

下载完成后：

• 解压压缩包

• 你会看到一个 bee-box 文件夹

（2）导入虚拟机

打开 VMware，按照以下步骤操作：

1. 点击「打开虚拟机」

2. 进入刚刚解压的目录

3. 选择文件：

bee-box.vmx

1. 打开

（3）网络配置（非常关键）

建议设置为：

NAT 模式

原因：

• 可以直接访问外网

• 宿主机可以访问虚拟机

• 不需要复杂配置

（4）启动虚拟机

点击“开启此虚拟机”，稍等一会，你会看到一个类似 Linux 的界面。

说明已经启动成功。

四、如何使用 bWAPP（两种方式）

接下来就是最关键的一步：

如何访问这个靶场？

方法一：在虚拟机内部访问

操作步骤：

1. 打开虚拟机桌面

2. 找到：

bWAPP-Install

1. 点击运行

登录信息：

用户名：bee 密码：bug

登录成功后，你会看到主界面。

在右上角可以选择漏洞类型，比如：

• XXE

• SQL Injection

• XSS