安装配置docker&maven环境

原文视频：（https://blog.sechelper.com/20220919/code-review/docker-maven-install-guid/）

Docker是什么

Docker 是一个开源的应用容器引擎。

Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中，然后发布到任何流行的 Linux 机器上，也可以实现虚拟化。

docker三个基本概念

Image(镜像)
Container(容器)
Repository(仓库)

我们可以通过安装Docker，结合著名的漏洞环境集合Vulhub，快速的来搭建我们想要的漏洞验证环境。因Vulhub是基于Docker和Docker-compose来搭建的。安全人员可以极其便利地使用Docker生成一个带有特定漏洞的容器进行调试分析，从而减少在环境配置上的时间消耗，更专注于研究漏洞本身。

Docker的下载与安装

不同系统下的docker的下载与安装

https://www.runoob.com/docker/ubuntu-docker-install.html

我们这里以macos系统安装为例，mac可以选择brew安装也可以直接选择手动安装，这里我们选择手动安装

https://docs.docker.com/desktop/install/mac-install/

跟其他软件安装一样，直接按照提示即可，最后我们可以在应用中看到Docker 图标，点击运行即可

查看docker安装版本命令

docker --version
Docker version 20.10.17, build 100c701

Docker基本使用方法

在docker开启后，可以使用命令行方式进行镜像的搜索、拉取、查看等，或者容器的开启与关闭等操作。

搜索镜像

search命令可以搜索指定名称和仓库的镜像，例如搜索tomcat的镜像

docker search tomcat

拉取镜像

pull 命令可以拉取指定仓库和名称以及标签的镜像。当未指定所获取镜像的tags（标签）时，则自动拉取latest（最新）版本的镜像。

docker pull dordoka/tomcat

查看镜像

images命令可以读取已经拉取到本地的镜像文件，并列出镜像所存放仓库名、TAG标签、镜像编号、创建时间以及镜像大小。

docker images

删除镜像

rmi指令可以删除已经拉取到本地的镜像，记得在删除镜像前需要先停止容器

docker rmi 镜像名

生成容器

run指令可以以指定的镜像为模板生成对应的容器。我们这里启动一个Tomcat的容器，希望可以访问它的8080端口，并在容器启动后在后台默默运行

docker run --name my_tomcat -it -d -p 8080:8080 tomcat

查看容器

docker ps
CONTAINER ID   IMAGE     COMMAND             CREATED         STATUS         PORTS                    NAMES
987a78763b16   tomcat    "catalina.sh run"   6 minutes ago   Up 6 minutes   0.0.0.0:8080->8080/tcp   my_tomcat

停止容器

docker stop CONTAINER ID

启动容器

docker start CONTAINER ID

进入容器

docker exec -it [CONTAINER ID] /bin/bash

退出容器

exit

删除容器

docker rm [CONTAINER ID]

使用Vulhub快速搭建漏洞环境

** Vulhub的下载与安装**

Vulhub Github地址：https://github.com/vulhub/vulhub

下载并解压Vulhub后,可以看到相应的漏洞环境，我们要启动对应的漏洞环境只需进入相应的文件夹使用Docker-compose命令启动即可。

启动漏洞环境

本次使用CVE-2020-1938为例，进入到相对应的文件夹后，编译完环境后使用docker-compose up –d启动命令会根据该文件夹中的docker-compose.yml定义将相应的镜像拉取到本地，并且会自动启动容器以及进行必要的端口映射。

# 自动化编译环境
docker-compose build

# 启动整个环境
docker-compose up -d

# 删除环境
docker-compose down -v

启动后访问其8080端口即可

Maven基础知识及掌握

Maven是一个项目构建工具，可以对Java项目进行构建和管理，也可以用于各种项目的构建和管理。

pom.xml文件介绍

pom.xml文件使用XML文件结构，该文件用于管理源代码、配置文件、开发者的信息和角色、问题追踪系统、组织信息、项目授权、项目的url、项目的依赖关系等。Maven项目中必须包含pom.xml文件。了解pom.xml文件结构有助于审计应用程序中所依赖的组件和发掘隐藏风险。

pom.xml定义依赖关系

pom.xml文件中的dependencies和dependency用于定义依赖关系，dependency通过groupId、artifactId以及version来定义所依赖的项目。引入Fastjson 1.2.24版本组件的Maven配置信息。其中groupId、artifactId和version共同描述了所依赖项目的唯一标志。

Maven的使用

IDEA中可以在新建项目时选择创建Maven项目。选择创建Maven项目，右侧窗口显示的是Maven项目的模板。直接使用默认模板并单击“Next”按钮，填写Name（项目名称）和Location（项目保存路径）后单击“Finish”按钮，即可完成项目的创建。

创建完成的Maven项目中包含该pom.xml文件。pom.xml文件描述了项目的Maven坐标、依赖关系、开发者需要遵循的规则、缺陷管理系统、组织以及licenses，还有其他所有的项目相关因素。对于我们代码审计来说，可以从pom.xml中快速的审查当前Java应用程序中是否使用了存在安全隐患的组建，以及快速的搭建特定版本的漏洞环境。

这里以搭建Fastjson 1.2.24之前版本的反序列化漏洞环境，需要引入版本小于1.2.24的Fastjson组件为例，引入Fastjson相应版本后右键单击pom.xml文件选择“Maven”选项，进行组件的自动获取。

关注 至察助安 ，专注网络安全优质知识分享，无优质，不分享。

巴特西