Come installare una dannata applicazione Web vulnerabile su CentOS 8
Su questa pagina
- Prerequisiti
- Installa Apache, MariaDB e PHP
- Configura MariaDB
- Scarica DVWA
- Configura SELinux e Firewall
- Accedi all'interfaccia utente Web DVWA
- Conclusione
DVWA chiamata anche \Damn Vulnerable Web App\ è un'applicazione web vulnerabile gratuita e open-source. È progettato per consentire ai professionisti della sicurezza di testare le proprie capacità e comprendere i processi di sicurezza delle applicazioni web. Fornisce una piattaforma per sperimentare nuovi strumenti di test di penetrazione e mettere in pratica nuove tecniche di sfruttamento per sfruttare vulnerabilità comuni.
In questo post, ti mostreremo come installare un'app Web maledettamente vulnerabile sul server CentOS 8.
Prerequisiti
- Un server che esegue CentOS 8.
- Sul server è configurata una password di root.
Installa Apache, MariaDB e PHP
DVWA è un'applicazione basata su PHP e MySQL. Quindi dovrai installare il server web Apache, MariaDB, PHP e altre estensioni richieste sul tuo server. Puoi installarli tutti con il seguente comando:
dnf install httpd mariadb-server php php-pdo php-mysqlnd php-cli php-gd git -y
Una volta installati tutti i pacchetti necessari, modifica il file php.ini con il seguente comando:
nano /etc/php.ini
Modifica le seguenti righe:
allow_url_fopen = On allow_url_include = On display_errors = Off
Salva e chiudi il file quando hai finito, quindi avvia il servizio Apache e MariaDB e abilitali all'avvio al riavvio del sistema:
systemctl start httpd
systemctl enable httpd
systemctl start mariadb
systemctl enable mariadb
Una volta terminato, puoi procedere al passaggio successivo.
Configura MariaDB
Successivamente, sarà necessario creare un database e un utente per DVWA. Innanzitutto, connettiti a MariaDB con il seguente comando:
mysql
Una volta connesso, crea un database e un utente con il seguente comando:
MariaDB [(none)]> create database dvwa;
MariaDB [(none)]> grant all on dvwa.* to identified by 'password';
Successivamente, scarica i privilegi ed esci da MariaDB con il seguente comando:
MariaDB [(none)]> flush privileges;
MariaDB [(none)]> exit;
Una volta terminato, puoi procedere al passaggio successivo.
Scarica DVWA
Innanzitutto, dovrai scaricare l'ultima versione di DVWA dal repository Git. Puoi scaricarlo con il seguente comando:
git clone https://github.com/ethicalhack3r/DVWA /var/www/html/
Una volta completato il download, cambia la directory nella directory config e copia il file di configurazione di esempio:
cd /var/www/html/config/
cp config.inc.php.dist config.inc.php
Quindi, modifica il file di configurazione con il seguente comando:
nano /var/www/html/config/config.inc.php
Definisci i dettagli del tuo database come mostrato di seguito:
$_DVWA[ 'db_server' ] = '127.0.0.1'; $_DVWA[ 'db_database' ] = 'dvwa'; $_DVWA[ 'db_user' ] = 'dvwa'; $_DVWA[ 'db_password' ] = 'password'; # You'll need to generate your own keys at: https://www.google.com/recaptcha/admin $_DVWA[ 'recaptcha_public_key' ] = '6LewiQgbAAAAAEZlwAfH88bpdk1n06gn_Qc2Cyhb'; $_DVWA[ 'recaptcha_private_key' ] = '6LewiQgbAAAAAMVHAi4wFAIt9150QqbgcOkRBSZ7';
Salva e chiudi il file quando hai finito.
Nota: puoi generare i valori di riacquisizione dal servizio Google.
Quindi, imposta l'autorizzazione e la proprietà appropriate sulla directory principale di Apache con il seguente comando:
chown -R apache:apache /var/www/html
Successivamente, riavvia il servizio Apache e MariaDB per applicare le modifiche:
systemctl restart mariadb httpd
A questo punto, DVWA è installato e configurato. Ora puoi procedere al passaggio successivo.
Configura SELinux e Firewall
Per impostazione predefinita, SELinux è abilitato in CentOS 8, quindi dovrai configurare SELinux per accedere a DVWA.
Eseguire il comando seguente per configurare su SELinux:
setsebool -P httpd_unified 1
setsebool -P httpd_can_network_connect 1
setsebool -P httpd_can_network_connect_db 1
Successivamente, dovrai anche consentire la porta 80 attraverso il firewalld. Puoi consentirlo con il seguente comando:
firewall-cmd --permanent --zone public --add-port 80/tcp
Successivamente, ricarica il firewalld per applicare le modifiche:
firewall-cmd --reload
A questo punto, SELinux e Firewalld sono configurati per consentire DVWA. Ora puoi procedere al passaggio successivo.
Accedi all'interfaccia utente Web DVWA
Ora, apri il tuo browser web e accedi all'interfaccia web DVWA usando l'URL http://your-server-ip/setup.php. Verrai reindirizzato alla seguente pagina:
Successivamente, fare clic su Reset/Database per configurare le impostazioni di connessione al database DVWA. Dovresti vedere la seguente pagina:
Fornire nome utente predefinito: admin, password: password e fare clic sul pulsante Accedi. Dovresti vedere la dashboard DVWA nella pagina seguente:
Conclusione
Congratulazioni! hai installato correttamente DVWA con Apache su CentOS 8. Ora puoi utilizzare nuove tecniche per hackerare le vulnerabilità comuni. Non esitate a chiedermi se avete domande.