Как легально практиковаться во взломе сайтов. Установка и настройка DVWA на Kali Linux

В данной статье мы с вами установим DVWA на Kali Linux, что бы в следующих статьях начать тренироваться во взломе сайтов 🔥

Всем салют, дорогие друзья!

Каждому начинающему белому хакеру необходимо где-то оттачивать свои навыки. Лезть в интернет и ломать рандомный сайт - идея так себе, ибо уголовно наказуемая.

❓Так что же делать?

✅ Правильно! Поднять свой собственный сайт для тренировок. Именно для этого и нужна DVWA.

В данной статье мы с вами установим DVWA на Kali Linux, что бы в следующих статьях начать тренироваться во взломе сайтов 🔥

Что такое DVWA

Damn Vulnerable Web Application (DVWA) — это намеренно уязвимое веб-приложение (сайт) на PHP/MySQL. Цель проекта — помочь этичным хакерам и специалистам ИБ отточить свои навыки и протестировать инструменты.

DVWA также может помочь веб-разработчикам и изучающим ИБ, лучше понять процесс безопасности веб-приложений и сайтов.

Установка DVWA на Kali Linux

Перейдите в каталог html:

cd /var/www/html

Клонируйте репозиторий git:

sudo git clone https://github.com/digininja/DVWA.git 

Измените права доступа к папке установки:

sudo chmod -R 777 DVWA

Перейдите к файлу конфигурации в каталоге установки:

cd DVWA/config

Скопируйте файл конфигурации и переименуйте его:

cp config.inc.php.dist config.inc.php

Откройте файл настроек и измените пароль на что-то более простое для ввода (я изменю пароль на pass):

sudo nano config.inc.php

На следующем снимке экрана показано содержимое файла конфигурации, включая всю информацию о базе данных:

Установите mariadb:

sudo apt-get update

sudo apt-get -y install apache2 mariadb-server php php-mysqli php-gd libapache2-mod-php

Запустите базу данных:

sudo service mysql start

Войдите в базу данных (пароля нет, поэтому просто нажмите Enter при появлении запроса):

sudo mysql -u root -p

Создайте пользователя базы данных. Нужно использовать те же имя пользователя и пароль, которые использовались в файле конфигурации (см. скрин выше):

create user 'user'@'127.0.0.1' identified by 'pass';

Предоставьте пользователю все привилегии:

grant all privileges on dvwa.* to 'user'@'127.0.0.1' identified by 'pass';

Результат этих операций с базой данных должен выглядеть так:

Пришло время перейти в каталог apache2 для настройки сервера Apache:

cd /etc/php/7.3/apache2

Откройте для редактирования файл php.ini, чтобы включить следующие параметры: allow_url_fopen и allow_url_include:

sudo mousepad php.ini

Файл большой, поэтому вам может потребоваться прокрутить до середины файла, чтобы добраться до fopen и изменить значения:

Запустите сервер Apache:

sudo service apache2 start

⚠️ Теперь, если все сделали правильно, можно открыть DVWA в браузере, введя в адресной строке следующее: 127.0.0.1/DVWA/

✅ Если открылась страница настройки, это означает, что вы успешно установили DVWA на Kali Linux:

Прокрутите вниз и нажмите Create / Reset Database (Создать / сбросить базу данных). Это создаст базу данных, и через несколько секунд вы будете перенаправлены на страницу входа в DVWA:

Введите следующие учетные данные:

admin

password

Как видно на следующем снимке экрана, существует множество интересных уязвимостей, которые вы можете протестировать, например, брутфорс, SQL-инъекция и другие:

Одной из очень интересных атак является популярная атака внедрения SQL-инъекции, которую мы подробно, на примере DVWA, рассмотрим в следующей статье данной серии.