Installieren Sie die verdammte Webanwendung in Kali Linux

Wenn Sie auf einem Weg eines Bug Bounty Hunter sind oder sich über Schwachstellen der Webanwendungen kennenlernen möchten, benötigen Sie wirklich eine Dummy -Website zum Üben. Berühren Sie niemals eine Schwachstellenscanner, bis Sie wissen, wie Sie mit der gefundenen Verwundbarkeit umgehen können. Es wird nutzlos sein, wenn Sie einen Scan auf eine Website gestartet haben und eine potenzielle SQL -Injektionsanfälligkeit gefunden haben, aber Sie wussten, wie man die Injektion macht. Mit den Anwendungen der Dummy -Website können Sie die Sicherheitsanfälligkeit in einer sicheren Umgebung üben, testen und ausnutzen.

Wir werden die folgenden Themen im Detail lernen:

• Installieren und Konfigurieren von DVWA in Kali Linux
• Apache 2 Webserver -Setup
• PHP -Konfiguration
• MySQL Database Setup

DVWA auf einen Blick

Verdammte verletzliche Webanwendung (DVWA) ist eine Webanwendung, die für einen Penetrationstester erstellt wurde, um ihre offensiven Hacking -Fähigkeiten in einer kontrollierten Umgebung zu testen und zu üben.

Installieren Sie DVWA unter Kali Linux

Die Installation von DVWA auf Kali ist eigentlich einfach. Eigentlich stehen verschiedene Methoden zur Verfügung. Zunächst muss der Benutzer das Projekt von der DVWA -Github -Seite herunterladen und einige Konfigurationseinstellungen wie Datenbank, Webserver und PHP ausführen. Zweitens kann der Benutzer auch ein vorgebautes DVWA -Paket erhalten, wenn er Metasploitable installiert. Drittens bietet das Kali Linux-Repository das Paket für DVWA mit dem Befehl APT-Install. Die letzte Methode ist die einfachste und mühelose Möglichkeit, DVWA unter Kali Linux zu installieren.

In diesem Tutorial lernen wir, wie Sie DVWA auf Kali Linux manuell erstellen oder installieren. Mit dem Ziel zu lernen, wie man eine Website erstellt und weiß, welche Technologie häufig zum Aufbau einer Website verwendet wird.

Voraussetzung

Stellen Sie vor der Installation von DVWA in unserem Kali Linux sicher, dass wir eine aktualisierte Repo -Liste haben und alle erforderlichen Pakete mit dem folgenden Befehl installiert haben:

sudo APT -Update
sudo apt install -y apache2 mariadb-server mariadb-client PHP-MYSQLI PHP-GD libapache2-mod-Php

Laden Sie das DVWA Github -Projekt herunter

Zunächst müssen wir das DVWA Github -Projekt auf unserem Kali Linux in/var/www/html verzeichnis herunterladen oder klonen. Verwenden Sie einfach den Befehl git clone, um dies zu tun, achten Sie jedoch sicher, dass Sie das aktuelle Verzeichnis in/var/www/html verwenden.

CD/var/www/html
sudo git klon https: // github.com/digininja/dvwa

Sobald wir das Projekt heruntergeladen haben, schauen wir uns an, welche Dateien darin enthalten sind.

Legen Sie dann die Berechtigung zum Lesen, Schreiben und Ausführen von Berechtigungen in das DVWA -Verzeichnis fest.

sudo chmod -r 777 dvwa/

Mit dieser Berechtigung kann DVWA die PHPIDS -Protokolle speichern und die hochgeladene Datei in DVWA/Hackable/Uploads -Verzeichnis speichern.

DVWA -Konfigurationsdatei

Das Standardbeispiel der Konfigurationseinstellung von DVWA befindet sich im Verzeichnis /Konfiguration. Der Dateiname ist config.Inc.Php.distanzieren. Sie können die Konfiguration wie DBMs, Datenbankanmeldeinformationen, Standard -DVWA -Sicherheitseinstellungen und vieles mehr finden. Schauen wir uns die folgende Datei an.

Diese Datei ist eine Beispieldatei, die DVWA verwendet sie nicht. Andernfalls kopieren wir diese Datei und benennen sie um (indem wir das entfernen .dist am Ende) zu Konfiguration.Inc.Php.

sudo cp config.Inc.Php.dist config.Inc.Php

Öffnen Sie nun die kopierte Datei (config.Inc.PHP) Verwenden eines beliebigen Texteditors und ändern Sie die Datenbankstandardeinstellung von Benutzername und Kennwort.

Als Beispiel wechseln wir den Benutzer in "Benutzer" und das Passwort in "Passweed".

Bitte beachten Sie den obigen Wert. Wir benötigen den Wert von DB_SERVER, DB_DATABASE, DB_USER und DB_PASSWORD für die nächste Konfiguration unten.

Konfigurieren der Datenbank

Zunächst müssen wir den MySQL -Dienst mit dem folgenden Befehl starten:

sudo service MySQL Start

Melden Sie sich dann mit dem Stammbenutzer bei MySQL an, und werden nach dem Stammkennwort gefragt:

sudo mysql -u root -p

Lassen Sie uns den Datenbankinformationswert in der DVWA -Konfigurationseinstellung (in Schritt 2) in der folgenden Tabelle verwenden.

db_server	127.0.0.1
db_database	dvwa
DB_USER	Benutzer
db_password	Passweed

Erstellen Sie aus den obigen Informationen einen Datenbankbenutzer mit dem Namen 'Benutzer"Und das Passwort"Passweed"Auf unserem Localhost -Server bei"127.0.0.1'Verwenden Sie den folgenden Befehl:

Erstellen Sie Benutzer 'Benutzer'@'127.0.0.1 'identifiziert durch' Passweed ';

Bei korrekter Konfiguration wird die glückliche Ausgabe seinFrage OK”.

Der letzte Schritt besteht darin, dem Benutzerrechte in der gesamten DVWA -Datenbank zu gewähren. Führen Sie den folgenden Befehl aus. Sie müssen den Benutzernamen, das Passwort und die Serverinformationen erneut angeben.

Gewähren Sie alle Privilegien für DVWA.* zu 'user'@'127.0.0.1 'identifiziert durch' Passweed ';

Konfigurieren Sie den Apache2 -Webserver

Die Apache2 -Installationsdatei auf Ihrem Kali Linux wird im Verzeichnis /etc /PHP gefolgt von der Version Ihres PHP gespeichert. In diesem Tutorial verwenden wir die neueste PHP -Version 8.1.

Jetzt werden wir Änderungen an einer PHP -Funktion vornehmen. Zulassen_url_include, um aktiviert zu werden. Die Konfiguration wird in /apache2 /PHP gespeichert.INI -Datei. Öffnen Sie die Datei mit Ihrem bevorzugten Texteditor. Hier verwende ich den Nano -Texteditor.

sudo nano/etc/php/8.1/Apache2/PHP.Ini

Scrollen zum nach unten zum Fopen Wrapper Abschnitt und stellen Sie sicher, dass diese beiden Funktionen aktiviert sind, indem der Wert eingestellt wird ALLGESTELLTE_URL_FOPEN UND ALLGESTELLTE_URL_INCLUDE.

Speichern Sie dann die Änderungen durch Drücken Strg + o Und Eingeben. Beenden Sie den Nano -Editor, indem Sie drücken Strg + x. Durch die Erlaubnis dieser Funktion können wir mit DVWA den RFI -Angriff der XSS Remotedatei (Remote Datei Inclusion) durchführen.

Starten Sie DVWA im Browser

Sobald alles konfiguriert ist, starten Sie den Apache2 -Dienst und den MySQL -Dienst neu, indem Sie den folgenden Befehl ausführen:

sudo systemctl starten Sie Apache2 neu.Service
sudo service MySQL Neustart

Öffnen Sie dann einen Browser und besuchen Sie http: // localhost/dvwa/oder http: // 127.0.0.1/dvwa/. Sie sehen eine DVWA -Begrüßungsseite, wie unten gezeigt.

Die letzte Konfiguration ist immer noch erforderlich. Wir haben schon früher Datenbank -Benutzeranmeldeinformationen erstellt, aber die Datenbank erstellt nicht. Um eine zu erstellen, gehen Sie zur DVWA -Seite und auf dem linken Feld klicken Sie auf 'Setup / Reset DB''.

Sie werden die 'sehen'Datenbank -Setup' Buchseite. Scrollen Sie nun ganz nach unten und finden Sie eine Taste mit dem Namen 'Datenbank erstellen / zurücksetzen''.

Klicken Sie auf diese Schaltfläche.

Das Setup ist abgeschlossen. Ihre DVWA ist bereit, ausgenutzt zu werden. Sie können jede verfügbare Schwachbarkeitsseite bei DVWA wie Brute Force, Befehlsinjektion, CSRF -Angriff, Dateieinschluss, Datei -Upload, SQL -Injektion, XSS -Angriff und viele mehr untersuchen, wie in der folgenden Abbildung gezeigt.

Stellen Sie sicher, dass Sie die geeignete Sicherheitsstufe auswählen, bevor Sie den Test ausführen. Standardmäßig war die Sicherheitsstufe auf unmöglich eingestellt, was ein weiterer Begriff für eine sichere Seite ist. Bitte beginnen Sie von der niedrigsten Ebene, um das grundlegende Konzept zu beherrschen.

Abschluss

Hacking ist auch eine praktische Fähigkeit, die Erfahrung und Menge bei der Durchführung eines Penetrationstests erfordert. DVWA ist nützlich, um anderen zu schulen oder anderen beizubringen, wie sie die Schwachstellen einer Webanwendung ohne Risiko oder mit einer kontrollierten Umgebung angreifen können.