如何利用Kurukshetra以交互式的方式学习如何进行安全编码
创始人
2025-07-01 15:41:11
0

关于Kurukshetra

Kurukshetra是一款功能强大的开源框架,该框架的主要目标就是通过交互式的问题解决方式来告诉广大研究人员或开发人员如何能够更好地实现安全编码。Kurukshetra本质上是一个Web框架,并未托管合理复杂的安全编码挑战提供坚实的基础,同时仍然能够根据用户输入高效动态地在安全的沙盒环境中执行每个挑战。

Kurukshetra由两个组件组成,一个是用PHP编写的后端框架,它的任务是管理并利用底层Docker系统为挑战执行提供安全的沙盒环境;另一个组件则是前端部分,它是一个面向用户的Web应用程序,主要负责提供所有必要的控制机制,供管理员托管和修改挑战,用户执行和查看每个输入的结果。

支持的平台

Kurukshetra已经在Ubuntu/Debian(基于apt-get的发行版)和Mac操作系统上进行了测试。理想情况下,它可以在任何安装了PHP 7.2、MySQL和Docker(以及启用了远程API)的Linux的发行版操作系统上正常运行。

工具要求

该工具的正常运行需要使用到下列依赖组件以及配置参数:

1、Git客户端:sudo apt-get install git;

2、PHPv7.2:sudo apt-ge install php7.2-curl php7.2-mbstring php7.2-mysql;

3、MySQL:sudo apt-get install mysql-server;

4、Docker;

5、启用DockerAPI;

6、在/var/config/路径下创建一个文件夹,权限设置为www;

工具安装

该工具的安装非常简单,广大研究人员只需要将该项目源码克隆至本地:

git clone https://github.com/a0xnirudh/kurukshetra.git

然后切换到项目目录中,创建目录并提供对应权限即可:

cd kurukshetra

cp -r * /var/www/html/

chmod 755 -R /var/www/html

Docker容器配置

Kurukshetra使用Dockers API来运行用户提交的代码。在我们使用docker API之前,需要一次性配置,操作如下所示:

1、获取Docker镜像:docker pull phusion/baseimage:latest;

2、切换到安装目录:cd installation/optional/;

3、使用Dockerfile构建Kurukshetra镜像:docker build -t kurukshetra .;

除此之外,你也可以直接运行下列命令自动化完成工具Docker镜像的安装与配置:

cd installation/optional/

python install.py

工具使用

完成工具安装与配置后,我们就可以访问http://localhost或http://127.0.0.1来进入安装页面了:

输入MySQL数据库凭证,并点击验证,然后输入Google OAuth的Client ID和Client密钥,并确保重定向URL设置为了http://your-domain.com/login/index.php。

此时,我们就可以开始使用Kurukshetra了。

工具运行截图

挑战列表页面:

挑战解决页面:

管理员面板(统计数据):

管理员挑战修改/添加页面:

容器管理:

工具演示视频

管理员功能演示:【点我观看】

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可证协议。

项目地址

Kurukshetra:【GitHub传送门】

参考资料

https://docs.kurukshetra.io/

https://docs.docker.com/engine/api/v1.24/

https://askubuntu.com/a/856794

https://docs.docker.com/install/

https://www.digitalocean.com/community/tutorials/how-to-install-and-use-docker-on-ubuntu-16-04

https://success.docker.com/article/how-do-i-enable-the-remote-api-for-dockerd

https://www.youtube.com/watch?v=yrfmyz3p9a4

本文作者:Alpha_h4ck, 转载请注明来自FreeBuf.COM

相关内容

热门资讯

如何允许远程连接到MySQL数... [[277004]]【51CTO.com快译】默认情况下,MySQL服务器仅侦听来自localhos...
如何利用交换机和端口设置来管理... 在网络管理中,总是有些人让管理员头疼。下面我们就将介绍一下一个网管员利用交换机以及端口设置等来进行D...
施耐德电气数据中心整体解决方案... 近日,全球能效管理专家施耐德电气正式启动大型体验活动“能效中国行——2012卡车巡展”,作为该活动的...
Windows恶意软件20年“... 在Windows的早期年代,病毒游走于系统之间,偶尔删除文件(但被删除的文件几乎都是可恢复的),并弹...
20个非常棒的扁平设计免费资源 Apple设备的平面图标PSD免费平板UI 平板UI套件24平图标Freen平板UI套件PSD径向平...
德国电信门户网站可实时显示全球... 德国电信周三推出一个门户网站,直观地实时提供其安装在全球各地的传感器网络检测到的网络攻击状况。该网站...
着眼MAC地址,解救无法享受D... 在安装了DHCP服务器的局域网环境中,每一台工作站在上网之前,都要先从DHCP服务器那里享受到地址动...
为啥国人偏爱 Mybatis,... 关于 SQL 和 ORM 的争论,永远都不会终止,我也一直在思考这个问题。昨天又跟群里的小伙伴进行...