關于Kurukshetra

Kurukshetra是一款功能強大的開源框架，該框架的主要目標就是通過交互式的問題解決方式來告訴廣大研究人員或開發人員如何能夠更好地實現安全編碼。Kurukshetra本質上是一個Web框架，并未托管合理復雜的安全編碼挑戰提供堅實的基礎，同時仍然能夠根據用戶輸入高效動態地在安全的沙盒環境中執行每個挑戰。

Kurukshetra由兩個組件組成，一個是用PHP編寫的后端框架，它的任務是管理并利用底層Docker系統為挑戰執行提供安全的沙盒環境；另一個組件則是前端部分，它是一個面向用戶的Web應用程序，主要負責提供所有必要的控制機制，供管理員托管和修改挑戰，用戶執行和查看每個輸入的結果。

支持的平臺

Kurukshetra已經在Ubuntu/Debian（基于apt-get的發行版）和Mac操作系統上進行了測試。理想情況下，它可以在任何安裝了PHP 7.2、MySQL和Docker（以及啟用了遠程API）的Linux的發行版操作系統上正常運行。

工具要求

該工具的正常運行需要使用到下列依賴組件以及配置參數：

1、Git客戶端：sudo apt-get install git；

2、PHPv7.2：sudo apt-ge install php7.2-curl php7.2-mbstring php7.2-mysql；

3、MySQL：sudo apt-get install mysql-server；

4、Docker；

5、啟用DockerAPI；

6、在/var/config/路徑下創建一個文件夾，權限設置為www；

工具安裝

該工具的安裝非常簡單，廣大研究人員只需要將該項目源碼克隆至本地：

git clone https://github.com/a0xnirudh/kurukshetra.git

然后切換到項目目錄中，創建目錄并提供對應權限即可：

cd kurukshetra

cp -r * /var/www/html/

chmod 755 -R /var/www/html

Docker容器配置

Kurukshetra使用Dockers API來運行用戶提交的代碼。在我們使用docker API之前，需要一次性配置，操作如下所示：

1、獲取Docker鏡像：docker pull phusion/baseimage:latest；

2、切換到安裝目錄：cd installation/optional/；

3、使用Dockerfile構建Kurukshetra鏡像：docker build -t kurukshetra .；

除此之外，你也可以直接運行下列命令自動化完成工具Docker鏡像的安裝與配置：

cd installation/optional/

python install.py

工具使用

完成工具安裝與配置后，我們就可以訪問http://localhost或http://127.0.0.1來進入安裝頁面了：

輸入MySQL數據庫憑證，并點擊驗證，然后輸入Google OAuth的Client ID和Client密鑰，并確保重定向URL設置為了http://your-domain.com/login/index.php。

此時，我們就可以開始使用Kurukshetra了。

工具運行截圖

挑戰列表頁面：

挑戰解決頁面：

管理員面板（統計數據）：

管理員挑戰修改/添加頁面：

容器管理：

工具演示視頻

管理員功能演示：【點我觀看】

許可證協議

本項目的開發與發布遵循GPL-3.0開源許可證協議。

項目地址

Kurukshetra：【GitHub傳送門】

參考資料

https://docs.kurukshetra.io/

https://docs.docker.com/engine/api/v1.24/

https://askubuntu.com/a/856794

https://docs.docker.com/install/

https://www.digitalocean.com/community/tutorials/how-to-install-and-use-docker-on-ubuntu-16-04

https://success.docker.com/article/how-do-i-enable-the-remote-api-for-dockerd

https://www.youtube.com/watch?v=yrfmyz3p9a4

本文作者：Alpha_h4ck， 轉載請注明來自FreeBuf.COM