В данной статье мы с вами установим DVWA на Kali Linux, что бы в следующих статьях начать тренироваться во взломе сайтов 🔥
Всем салют, дорогие друзья!
Каждому начинающему белому хакеру необходимо где-то оттачивать свои навыки. Лезть в интернет и ломать рандомный сайт - идея так себе, ибо уголовно наказуемая.
❓Так что же делать?
✅ Правильно! Поднять свой собственный сайт для тренировок. Именно для этого и нужна DVWA.
В данной статье мы с вами установим DVWA на Kali Linux, что бы в следующих статьях начать тренироваться во взломе сайтов 🔥
Что такое DVWA
Damn Vulnerable Web Application (DVWA) — это намеренно уязвимое веб-приложение (сайт) на PHP/MySQL. Цель проекта — помочь этичным хакерам и специалистам ИБ отточить свои навыки и протестировать инструменты.
DVWA также может помочь веб-разработчикам и изучающим ИБ, лучше понять процесс безопасности веб-приложений и сайтов.
Установка DVWA на Kali Linux
Перейдите в каталог html:
cd /var/www/html
Клонируйте репозиторий git:
sudo git clone https://github.com/digininja/DVWA.git
Измените права доступа к папке установки:
sudo chmod -R 777 DVWA
Перейдите к файлу конфигурации в каталоге установки:
cd DVWA/config
Скопируйте файл конфигурации и переименуйте его:
cp config.inc.php.dist config.inc.php
Откройте файл настроек и измените пароль на что-то более простое для ввода (я изменю пароль на pass):
sudo nano config.inc.php
На следующем снимке экрана показано содержимое файла конфигурации, включая всю информацию о базе данных:
Установите mariadb:
sudo apt-get update
sudo apt-get -y install apache2 mariadb-server php php-mysqli php-gd libapache2-mod-php
Запустите базу данных:
sudo service mysql start
Войдите в базу данных (пароля нет, поэтому просто нажмите Enter при появлении запроса):
sudo mysql -u root -p
Создайте пользователя базы данных. Нужно использовать те же имя пользователя и пароль, которые использовались в файле конфигурации (см. скрин выше):
create user 'user'@'127.0.0.1' identified by 'pass';
Предоставьте пользователю все привилегии:
grant all privileges on dvwa.* to 'user'@'127.0.0.1' identified by 'pass';
⚠️Обратите внимание: поскольку мы работаем с базой данных, эти команды должны заканчиваться точкой с запятой ;
Результат этих операций с базой данных должен выглядеть так:
Пришло время перейти в каталог apache2 для настройки сервера Apache:
cd /etc/php/7.3/apache2
Откройте для редактирования файл php.ini, чтобы включить следующие параметры: allow_url_fopen и allow_url_include:
sudo mousepad php.ini
Файл большой, поэтому вам может потребоваться прокрутить до середины файла, чтобы добраться до fopen и изменить значения:
Запустите сервер Apache:
sudo service apache2 start
⚠️ Теперь, если все сделали правильно, можно открыть DVWA в браузере, введя в адресной строке следующее: 127.0.0.1/DVWA/
✅ Если открылась страница настройки, это означает, что вы успешно установили DVWA на Kali Linux:
Прокрутите вниз и нажмите Create / Reset Database (Создать / сбросить базу данных). Это создаст базу данных, и через несколько секунд вы будете перенаправлены на страницу входа в DVWA:
Введите следующие учетные данные:
admin
password
Как видно на следующем снимке экрана, существует множество интересных уязвимостей, которые вы можете протестировать, например, брутфорс, SQL-инъекция и другие:
Одной из очень интересных атак является популярная атака внедрения SQL-инъекции, которую мы подробно, на примере DVWA, рассмотрим в следующей статье данной серии.
Comments