În acest tutorial o să facem un mic update sistemului nostru de operare BlackwWeb, pentru a-l transforma într-o adevărată platformă de hacking. O să vă arăt cum să instalați Damn Vulnerable Web Application (DVWA) alături de Apache, MySQL și PHP.
Este foarte util pentru începătorii care doresc să practice și să exploreze vulnerabilitățile. Dacă vă numărați printre ei, DVWA vă ajută să creați un mediu de hacking pe distribuția BlackWeb pentru a vă exersa și testa abilitățile.
DVWA este realizat în PHP și MySQL pentru profesioniștii din domeniul securității cu scopul de a descoperi cât mai multe probleme posibile și pentru a exploata unele dintre vulnerabilitățile cele mai întâlnite ale platformelor web precum SQL injection, Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), și multe altele altele.
NOTĂ: Acest tutorial este pentru începători. Dacă nu reușiți să finalizați niciunul dintre pași sau întâlniți un mesaj de eroare în timpul instalării, vă sfătuiesc să utilizați secțiunea de comentarii.
O să vă arăt cum instalăm DVWA în 5 pași simpli
Linux Distro: BlacWeb OS
Pasul 1: Instalăm Serverul Web (Apache)
apt-get update
sudo apt install apache2
Accesăm în browser 127.0.0.1 pentru a vedea dacă Apache s-a instalat cu succes:
Puteți șterge această pagină prin comanda:
sudo rm /var/www/html/index.html
Pasul 2: Descărcăm DVWA
- Mergem în fișierul apache2.
cd /var/www/html/
- Clonăm DVWA de pe Github utilizând comanda:
sudo git clone https://github.com/ethicalhack3r/DVWA.git
După ce am clonat DVWA în locația dorită, accesăm în browser 127.0.0.1/DVWA/
Se pare că avem o eroare.
O vom corecta imediat mergând în /var/www/html/DVWA/config. Aici redenumim fișierul config.inc.php.dist în config.inc.php
Dacă accesăm din nou 127.0.0.1/DVWA/ nu o să mai vedem nimic.
- Schimbăm permisiunile pentru DVWA
sudo chmod -R 777 /var/www/html/DVWA/
Pasul 3: Instalăm MariaDB
- Pentru a instala MariaDB, scriem următoarea comandă (dacă nu mă înșel, ultima versiune de BlackWeb are MariaDB instalat):
apt-get install mariadb-client-core-10.1
apt-get install mariadb-server
O să vedem dacă instalarea a reușit cu următoarea comandă:
mysql -u root -p
Introducem parola creată (dacă versiunea BlackWeb instalată de dvs. are deja Maria DB instalat, introducem parola blackweb) și scriem comanda de mai jos, pentru a obține câteva informații:
status
O să dăm o resetare serviciului Apache, dacă am terminat de instalat MariaDB (unii dintre voi poate preferați MySQL și pe acesta l-ați instalat)
sudo service apache2 restart
- Creăm o bază de date și un utilizator
mysql -u root -p
- Introducem parola blackweb (sau parola stabilită de voi dacă ați instalat MariaDB/MySQL) și apăsăm enter.
- Pentru a crea o bază de date, tastăm următoarea comandă
CREATE DATABASE dvwadb;
- Pentru a crea un user tastăm următoarea comandă. Înlocuiți ‘dvwadbuser’ cu numele de utilizator dorit și ‘parola123‘ cu parola dorită.
CREATE USER ‘dvwadbuser’@’127.0.0.1′ IDENTIFIED BY ‘parola123’;
- Pentru a oferi permisiuni depline, scriem comanda:
GRANT ALL PRIVILEGES ON dvwadb.* TO ‘dvwadbuser’@’localhost’ IDENTIFIED BY ‘parola123’;
- După ce am terminat, tastăm una dintre comenzile de ieșire:
\q
(sau)
exit
Pasul 4: Instalăm PHP
- Instalăm php cu următoarea comandă:
sudo apt-get install php
- Resetăm serverul Apache
sudo service apache2 restart
- Instalăm extensia MySQL pentru PHP.
apt-get update
(adsbygoogle = window.adsbygoogle || []).push({});sudo apt-get install php7.0-mysql
- Instalăm PHP-GD
sudo apt install php-gd
sudo phpenmod gd
Am cam terminat cu instalarea PHP pentru DVWA.
Pasul 5: Configurăm DVWA
Acum suntem gata să edităm sursa fișierelor de configurare php, pentru a ne asigura că aplicația noastră Web se conectează la baza de date, și are un captcha funcțional. Puteți obține chei reCaptcha din Contul Google dând click aici.
Vom folosi editorul de text preferat pentru a edita configurația:
/var/www/html/dvwa/config/config.inc.php
- Adăugăm numele și username-ul bazei de date, urmate de parolă.
- Adăugăm cheile reCaptcha
Mai jos avem un screenshot la cum trebuie să arate fișierul nostru de configurare:
Imediat ce am terminat, va trebui să edităm fișierul php.ini, pentru a corespunde cerințelor DVWA. Deschidem fișierul /etc/php7/apache2/php.ini cu editorul favorit și avem grijă să avem “On” în dreptul celor două:
Allow_url_fopen
Allow_url_include
Acestea sunt necesare pentru a exploata vulnerabilități la încărcarea fișierelor. Un screenshot în care vă arăt cum trebuie să arate php.ini
sudo service apache2 restart
Resetăm serviciul MySQL
sudo service mysql restart
După ce am făcut lucrurile acestea, cu browser-ul nostru mergem la adresa
http://127.0.0.1/DVWA/setup.php
Dăm click mai jos pe butonul CREATE și ne logăm cu admin/password.
Felicitări! Ați instalat DVWA pe sistemul de operare BlackWebOS. Desigur, acest tutorial ar trebui să funcționeze pe orice altă distribuție (Debian, Ubuntu, Kali), însă anumiți pași vor diferi puțin. Dacă întâmpinați probleme, puteți lăsa un comentariu mai jos, iar eu voi încerca să vă ajut.
Rămâneți alături de Blackweb și de următorul tutorial, care va avea în prim plan DVWA. Până data viitoare, să ne citim cu bine!
MariaDB [(none)]> CREATE USER ‘dvwadbuser’@’127.0.0.1′ IDENTIFIED BY ‘parola123’;
ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ‘‘parola123’’ at line 1