DVWA chiamato anche "Damn Vulnerable Web App" è un'applicazione Web vulnerabile gratuita e open source. È progettato per consentire ai professionisti della sicurezza di testare le proprie competenze e comprendere i processi di sicurezza delle applicazioni Web. Fornisce una piattaforma per sperimentare nuovi strumenti di test di penetrazione e mettere in pratica nuove tecniche di sfruttamento per sfruttare le vulnerabilità comuni.
In questo post, ti mostreremo come installare una dannata app Web vulnerabile sul server CentOS 8.
Prerequisiti
- Un server che esegue CentOS 8.
- Sul server è configurata una password di root.
Installa Apache, MariaDB e PHP
DVWA è un'applicazione basata su PHP e MySQL. Quindi dovrai installare il server web Apache, MariaDB, PHP e altre estensioni richieste sul tuo server. Puoi installarli tutti con il seguente comando:
dnf install httpd mariadb-server php php-pdo php-mysqlnd php-cli php-gd git -y
Una volta installati tutti i pacchetti necessari, modifica il file php.ini con il seguente comando:
nano /etc/php.ini
Modifica le seguenti righe:
allow_url_fopen =Onallow_url_include =Ondisplay_errors =Off
Salva e chiudi il file al termine, quindi avvia il servizio Apache e MariaDB e abilita l'avvio al riavvio del sistema:
systemctl avvia httpd
systemctl abilita httpd
systemctl avvia mariadb
systemctl abilita mariadb
Una volta terminato, puoi procedere al passaggio successivo.
Configura MariaDB
Successivamente, dovrai creare un database e un utente per DVWA. Innanzitutto, connettiti a MariaDB con il seguente comando:
mysql
Una volta connesso, crea un database e un utente con il seguente comando:
MariaDB [(none)]> crea database dvwa;
MariaDB [(none)]> concedi tutto su dvwa.* a [email protected] identificato da 'password';
Quindi, svuota i privilegi ed esci da MariaDB con il seguente comando:
MariaDB [(none)]> svuota i privilegi;
MariaDB [(none)]> esci;
Una volta terminato, puoi procedere al passaggio successivo.
Scarica DVWA
Innanzitutto, dovrai scaricare l'ultima versione di DVWA dal repository Git. Puoi scaricarlo con il seguente comando:
git clone https://github.com/ethicalhack3r/DVWA /var/www/html/
Una volta completato il download, cambia la directory nella directory config e copia il file di configurazione di esempio:
cd /var/www/html/config/
cp config.inc.php.dist config.inc.php
Quindi, modifica il file di configurazione con il seguente comando:
nano /var/www/html/config/config.inc.php
Definisci i dettagli del tuo database come mostrato di seguito:
$_DVWA[ 'db_server' ] ='127.0.0.1';$_DVWA[ 'db_database' ] ='dvwa';$_DVWA[ 'db_user' ] ='dvwa';$_DVWA[ 'db_password' ] =' parola d'ordine'; # Dovrai generare le tue chiavi su:https://www.google.com/recaptcha/admin$_DVWA[ 'recaptcha_public_key' ] ='6LewiQgbAAAAAEZlwAfH88bpdk1n06gn_Qc2Cyhb';$_DVWA[ 'recaptcha_private_key' ] ='6LewiQggbAAAAAMVHAi4wFAIt915 /pre>Salva e chiudi il file quando hai finito.
Nota:puoi generare i valori di ricattura dal servizio Google.
Quindi, imposta l'autorizzazione e la proprietà appropriate sulla directory radice di Apache con il seguente comando:
chown -R apache:apache /var/www/htmlQuindi, riavvia il servizio Apache e MariaDB per applicare le modifiche:
systemctl riavvia mariadb httpdA questo punto DVWA è installato e configurato. Ora puoi procedere al passaggio successivo.
Configura SELinux e Firewall
Per impostazione predefinita, SELinux è abilitato in CentOS 8, quindi dovrai configurare SELinux per accedere a DVWA.
Eseguire il comando seguente per configurare su SELinux:
setsebool -P httpd_unified 1
setsebool -P httpd_can_network_connect 1
setsebool -P httpd_can_network_connect_db 1Successivamente, dovrai anche consentire la porta 80 attraverso il firewalld. Puoi consentirlo con il seguente comando:
firewall-cmd --permanent --zone public --add-port 80/tcpQuindi, ricarica il firewalld per applicare le modifiche:
firewall-cmd --reloadA questo punto, SELinux e Firewalld sono configurati per consentire DVWA. Ora puoi procedere al passaggio successivo.
Accedi all'interfaccia utente Web DVWA
Ora apri il tuo browser web e accedi all'interfaccia web DVWA utilizzando l'URL http://your-server-ip/setup.php . Verrai reindirizzato alla seguente pagina:
Quindi, fai clic su Ripristina/Database per configurare le impostazioni di connessione al database DVWA. Dovresti vedere la seguente pagina:
Fornisci nome utente predefinito:admin, password:password e fai clic su Accedi pulsante. Dovresti vedere la dashboard DVWA nella pagina seguente:
Conclusione
Congratulazioni! hai installato correttamente DVWA con Apache su CentOS 8. Ora puoi utilizzare nuove tecniche per hackerare vulnerabilità comuni. Sentiti libero di chiedermi se hai domande.