Cum instalăm DVWA pe BlackWeb OS sau pe orice altă distribuție Linux

În acest tutorial o să facem un mic update sistemului nostru de operare BlackwWeb, pentru a-l transforma într-o adevărată platformă de hacking. O să vă arăt cum să instalați Damn Vulnerable Web Application (DVWA) alături de Apache, MySQL și PHP.

Este foarte util pentru începătorii care doresc să practice și să exploreze vulnerabilitățile. Dacă vă numărați printre ei, DVWA vă ajută să creați un mediu de hacking pe distribuția BlackWeb pentru a vă exersa și testa abilitățile.

DVWA este realizat în PHP și MySQL pentru profesioniștii din domeniul securității cu scopul de a descoperi cât mai multe probleme posibile și pentru a exploata unele dintre vulnerabilitățile cele mai întâlnite ale platformelor web precum SQL injection, Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), și multe altele altele.

NOTĂ: Acest tutorial este pentru începători. Dacă nu reușiți să finalizați niciunul dintre pași sau întâlniți un mesaj de eroare în timpul instalării, vă sfătuiesc să utilizați secțiunea de comentarii.

O să vă arăt cum instalăm DVWA în 5 pași simpli

Linux Distro: BlacWeb OS

Pasul 1: Instalăm Serverul Web (Apache)

apt-get update

sudo apt install apache2

Accesăm în browser 127.0.0.1 pentru a vedea dacă Apache s-a instalat cu succes:



Dacă vedeți această pagină înseamnă că ați instalat Apache cu succes.

Puteți șterge această pagină prin comanda:

sudo rm /var/www/html/index.html

Pasul 2: Descărcăm DVWA

  • Mergem în fișierul apache2.

cd /var/www/html/

  • Clonăm DVWA de pe Github utilizând comanda:

sudo git clone https://github.com/ethicalhack3r/DVWA.git

După ce am clonat DVWA în locația dorită, accesăm în browser 127.0.0.1/DVWA/

Se pare că avem o eroare.



O vom corecta imediat mergând în /var/www/html/DVWA/config. Aici redenumim fișierul config.inc.php.dist în config.inc.php

Dacă accesăm din nou 127.0.0.1/DVWA/ nu o să mai vedem nimic.

Nu vă faceți griji, lucrul acesta se datorează faptului că nu avem mysql și php. Trecem mai departe.
  • Schimbăm permisiunile pentru DVWA

sudo chmod -R 777 /var/www/html/DVWA/

Pasul 3:  Instalăm MariaDB

  • Pentru a instala MariaDB, scriem următoarea comandă (dacă nu mă înșel, ultima versiune de BlackWeb are MariaDB instalat):

apt-get install mariadb-client-core-10.1

apt-get install mariadb-server

O să vedem dacă instalarea a reușit cu următoarea comandă:



mysql -u root -p

Introducem parola creată (dacă versiunea BlackWeb instalată de dvs. are deja Maria DB instalat, introducem parola blackweb) și scriem comanda de mai jos, pentru a obține câteva informații:

status

O să dăm o resetare serviciului Apache, dacă am terminat de instalat MariaDB (unii dintre voi poate preferați MySQL și pe acesta l-ați instalat)

sudo service apache2 restart

  • Creăm o bază de date și un utilizator

mysql -u root -p

  • Introducem parola blackweb (sau parola stabilită de voi dacă ați instalat MariaDB/MySQL) și apăsăm enter.
  • Pentru a crea o bază de date, tastăm următoarea comandă

CREATE DATABASE dvwadb;

  • Pentru a crea un user tastăm următoarea comandă. Înlocuiți ‘dvwadbuser’ cu numele de utilizator dorit și ‘parola123‘ cu parola dorită.

CREATE USER ‘dvwadbuser’@’127.0.0.1′ IDENTIFIED BY ‘parola123’;

  • Pentru a oferi permisiuni depline, scriem comanda:

GRANT ALL PRIVILEGES ON dvwadb.* TO ‘dvwadbuser’@’localhost’ IDENTIFIED BY ‘parola123’;

  • După ce am terminat, tastăm una dintre comenzile de ieșire:

\q

(sau)

exit

Pasul 4: Instalăm PHP

  • Instalăm php cu următoarea comandă:

sudo apt-get install php

  • Resetăm serverul Apache

sudo service apache2 restart

  • Instalăm extensia MySQL pentru PHP.

apt-get update



sudo apt-get install php7.0-mysql

  • Instalăm PHP-GD

sudo apt install php-gd

sudo phpenmod gd

Am cam terminat cu instalarea PHP pentru DVWA.

Pasul 5: Configurăm DVWA

Acum suntem gata să edităm sursa fișierelor de configurare php, pentru a ne asigura că aplicația noastră Web se conectează la baza de date, și are un captcha funcțional. Puteți obține chei reCaptcha din Contul Google dând click aici.

Vom folosi editorul de text preferat pentru a edita configurația:

/var/www/html/dvwa/config/config.inc.php

  • Adăugăm numele și username-ul bazei de date, urmate de parolă.
  • Adăugăm cheile reCaptcha

Mai jos avem un screenshot la cum trebuie să arate fișierul nostru de configurare:

Imediat ce am terminat, va trebui să edităm fișierul php.ini, pentru a corespunde cerințelor DVWA. Deschidem fișierul /etc/php7/apache2/php.ini cu editorul favorit și avem grijă să avem “On” în dreptul celor două:

Allow_url_fopen

Allow_url_include

Acestea sunt necesare pentru a exploata vulnerabilități la încărcarea fișierelor. Un screenshot în care vă arăt cum trebuie să arate php.ini



Resetăm Apache

sudo service apache2 restart

Resetăm serviciul MySQL

sudo service mysql restart

După ce am făcut lucrurile acestea, cu browser-ul nostru mergem la adresa

http://127.0.0.1/DVWA/setup.php

O să ni se deschidă o fereastră precum aceasta. Aveți grijă ca toate funcțiile să fie ,,verzi”. 🙂

 

Dăm click mai jos pe butonul CREATE și ne logăm cu admin/password.

 

Felicitări! Ați instalat DVWA pe sistemul de operare BlackWebOS. Desigur, acest tutorial ar trebui să funcționeze pe orice altă distribuție (Debian, Ubuntu, Kali), însă anumiți pași vor diferi puțin. Dacă întâmpinați probleme, puteți lăsa un comentariu mai jos, iar eu voi încerca să vă ajut.

Rămâneți alături de Blackweb și de următorul tutorial, care va avea în prim plan DVWA. Până data viitoare, să ne citim cu bine!



 

0 0 vote
Article Rating
Subscribe
Notify of
guest
1 Comment
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
android
android
1 year ago

MariaDB [(none)]> CREATE USER ‘dvwadbuser’@’127.0.0.1′ IDENTIFIED BY ‘parola123’;
ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ‘‘parola123’’ at line 1