Zainstaluj cholerną wrażliwą aplikację internetową w Kali Linux

Jeśli jesteś na ścieżce łowcy nagród błędów lub chcesz dowiedzieć się o lukach w aplikacjach internetowych, naprawdę potrzebujesz manekina, aby ćwiczyć. Nigdy nie dotykaj skanerów podatności na zagrożenia, dopóki nie wiesz, jak radzić sobie z znalezioną wrażliwością. Będzie to bezużyteczne po uruchomieniu skanowania na stronie internetowej i znalazłeś potencjalną podatność na wtrysk SQL, ale wiedziałeś, jak zrobić wstrzyknięcie. Aplikacje na stronie internetowej pozwalają ćwiczyć, testować i wykorzystywać podatność w bezpiecznym środowisku.

Szczegółowo poznamy następujące tematy:

• Instalowanie i konfigurowanie DVWA w Kali Linux
• Apache 2 Serwer Web Server
• Konfiguracja PHP
• Konfiguracja bazy danych mysql

DVWA na pierwszy rzut oka

Cholerna wrażliwa aplikacja internetowa (DVWA) to aplikacja internetowa, która jest zbudowana dla testera penetracji do testowania i ćwiczenia ich umiejętności hakowania ofensywnego w kontrolowanym środowisku.

Zainstaluj DVWA na Kali Linux

Instalowanie DVWA na Kali jest w rzeczywistości łatwe, w rzeczywistości dostępnych jest kilka metod. Po pierwsze, użytkownik musi pobrać projekt ze strony DVWA Github i uruchomić kilka ustawień konfiguracji, takich jak baza danych, serwer WWW i PHP. Po drugie, użytkownik może również otrzymać wstępnie zbudowany pakiet DVWA, gdy instaluje metasploita. Po trzecie, repozytorium Kali Linux zapewnia również pakiet dla DVWA, używając polecenia apt-install. Ostatnia metoda to najłatwiejszy i łatwy sposób instalacji DVWA na Kali Linux.

W tym samouczku dowiemy się, jak ręcznie budować lub instalować DVWA na Kali Linux. W celu nauki tworzenia strony internetowej i wiedzieć, jaka jest technologia, która jest często wykorzystywana do budowy strony internetowej.

Warunek wstępny

Przed zainstalowaniem DVWA w naszym Kali Linux upewnij się, że mamy zaktualizowaną listę repo i zainstalowaliśmy wszystkie wymagane pakiety za pomocą następującego polecenia:

Aktualizacja sudo apt
sudo apt instaluj -y apache2 mariaDB-server mariadb-client php php-mysqli php-gd libapache2-mod-php

Pobierz projekt DVWA Github

Najpierw musimy pobrać lub sklonować projekt DVWA Github na naszym katalogu Kali Linux w/var/www/html. Po prostu użyj polecenia GIT Clone, aby to zrobić, ale pamiętaj, aby zmienić bieżący katalog na/var/www/html za pomocą polecenia CD.

CD/var/www/html
sudo git klon https: // github.com/digininja/dvwa

Po pobraniu projektu spójrzmy, jakie są w nim pliki.

Następnie ustaw zgodę na odczyt, zapisanie i wykonywanie uprawnień do katalogu DVWA.

sudo chmod -r 777 DVWA/

To uprawnienia umożliwia DVWA przechowywanie dzienników phPIDS i przechowywanie przesłanego pliku znajdującego się w katalogu DVWA/Hackable/.

Plik konfiguracyjny DVWA

Domyślny przykład ustawienia konfiguracji DVWA znajduje się w katalogu /konfiguracji. Nazwa pliku jest konfiguracją.Inc.php.dist. Można znaleźć konfigurację, taką jak DBM, poświadczenia bazy danych, domyślne ustawienia zabezpieczeń DVWA i wiele innych. Spójrzmy na plik poniżej.

Ten plik jest przykładowym plik, DVWA go nie użyje. W przeciwnym razie skopiujemy ten plik i zmienimy go nazwy (usuwając .Dist na końcu) do konfiguracji.Inc.php.

Sudo CP Config.Inc.php.Dist Config.Inc.php

Teraz otwórz skopiowany plik (Config.Inc.php) za pomocą dowolnego edytora tekstu i zmień domyślne ustawienie nazwy użytkownika i hasła bazy danych.

Jako przykład zmienimy użytkownika na „użytkownik” i hasło na „Passweed”.

Proszę zwrócić uwagę na powyższą wartość. Potrzebujemy wartości db_server, db_database, db_user i db_password do następnej konfiguracji poniżej.

Konfigurowanie bazy danych

Najpierw musimy zwolnić usługę MySQL, używając następującego polecenia:

Sudo Service MySQL Start

Następnie zaloguj się do MySQL za pomocą użytkownika root, zostaniesz poproszony o hasło root:

sudo mysql -u root -p

Podsumujmy wartość informacyjną bazy danych w ustawieniu konfiguracji DVWA (w kroku 2), którego zamierzamy użyć w poniższej tabeli.

db_server	127.0.0.1
db_database	DVWA
db_user	użytkownik
db_password	Passweed

Z powyższych informacji utwórz użytkownika bazy danych o nazwie 'użytkownik„I hasło”Passweed„Na naszym serwerze Localhost”127.0.0.1„Korzystanie z następującego polecenia:

Utwórz użytkownika „użytkownika”@'127.0.0.1 „zidentyfikowane przez„ passweed ”;

Jeśli zostanie skonfigurowane poprawnie, szczęśliwym wyjściem będzie „Zapytanie OK".

Ostatnim krokiem jest przyznanie uprawnieniu użytkownika w całej bazie danych „DVWA”. Uruchom polecenie poniżej. Musisz ponownie podać nazwę użytkownika, hasło i informacje serwera.

przyznać wszystkie przywileje na DVWA.* do „użytkownika”@'127.0.0.1 „zidentyfikowane przez„ passweed ”;

Skonfiguruj serwer WWW Apache2

Plik instalacyjny Apache2 na Kali Linux jest przechowywany w katalogu /etc /php, a następnie wersja php. W tym samouczku używamy najnowszej wersji PHP 8.1.

Teraz wprowadzimy zmiany w funkcji PHP, umożliwienie włączenia_url_include. Konfiguracja jest przechowywana w /apache2 /php.plik INI. Otwórz plik za pomocą ulubionego edytora tekstu. Tutaj używam edytora tekstu nano.

sudo nano/etc/php/8.1/apache2/php.ini

Przewiń w dół do Fopen opakowania sekcja i upewnij się, że te dwie funkcje są włączone, ustawiając wartość na ON, są one Zezwalaj na_url_fopen i pozwól_url_include.

Następnie zapisz zmiany, naciskając Ctrl + o I Wchodzić. Wyjdź z nano edytora, naciskając Ctrl + x. Umożliwiając tę ​​funkcję, DVWA pozwala nam wykonać atak zdalnego włączenia plików XSS (RFI).

Uruchom DVWA w przeglądarce

Po skonfigurowaniu wszystkiego uruchom ponownie usługę Apache2 i usługę MySQL, uruchamiając następujące polecenie:

sudo systemctl restart apache2.praca
Sudo Service Mysql restart

Następnie otwórz przeglądarkę i odwiedź http: // localhost/dvwa/lub http: // 127.0.0.1/DVWA/. Zobaczysz stronę powitalną DVWA, jak pokazano poniżej.

Ostatnia konfiguracja jest potrzebna, nadal. Wcześniej tworzyliśmy poświadczenia użytkownika bazy danych, ale nie stworzyliśmy bazy danych. Aby utworzyć jeden, przejdź do strony DVWA, a po lewym panelu kliknijKonfiguracja / reset db'.

Zobaczysz 'Konfiguracja bazy danych„Strona. Teraz przewiń w dół do dołu i znajdź przycisk nazwany 'Utwórz / zresetuj bazę danych'.

Kliknij ten przycisk.

Konfiguracja jest zakończona. Twój DVWA jest gotowy do wykorzystania. Możesz zbadać każdą dostępną stronę podatności na DVWA, takie jak Brute Force, Command Iniection, CSRF Attack, Inclusion Plik, przesyłanie pliku, wstrzyknięcie SQL, atak XSS i wiele innych, jak pokazano na poniższym rysunku.

Upewnij się, aby wybrać odpowiedni poziom bezpieczeństwa przed uruchomieniem testu. Domyślnie poziom bezpieczeństwa został ustawiony na niemożliwe, co jest kolejnym terminem dla bezpiecznej strony. Zacznij od najniższego poziomu, aby opanować fundamentalną koncepcję.

Wniosek

Hakowanie jest również praktyczną umiejętnością, która wymaga doświadczenia i ilości w przeprowadzaniu testu penetracji. DVWA jest przydatne do szkolenia lub nauczania innych, jak atakować luki w aplikacji internetowej bez ryzyka lub w kontrolowanym środowisku.