Ricerca nel sito web

Come installare una dannata applicazione Web vulnerabile su CentOS 8

Su questa pagina

  1. Prerequisiti
  2. Installa Apache, MariaDB e PHP
  3. Configura MariaDB
  4. Scarica DVWA
  5. Configura SELinux e Firewall
  6. Accedi all'interfaccia utente Web DVWA
  7. Conclusione

DVWA chiamata anche \Damn Vulnerable Web App\ è un'applicazione web vulnerabile gratuita e open-source. È progettato per consentire ai professionisti della sicurezza di testare le proprie capacità e comprendere i processi di sicurezza delle applicazioni web. Fornisce una piattaforma per sperimentare nuovi strumenti di test di penetrazione e mettere in pratica nuove tecniche di sfruttamento per sfruttare vulnerabilità comuni.

In questo post, ti mostreremo come installare un'app Web maledettamente vulnerabile sul server CentOS 8.

Prerequisiti

  • Un server che esegue CentOS 8.
  • Sul server è configurata una password di root.

Installa Apache, MariaDB e PHP

DVWA è un'applicazione basata su PHP e MySQL. Quindi dovrai installare il server web Apache, MariaDB, PHP e altre estensioni richieste sul tuo server. Puoi installarli tutti con il seguente comando:

dnf install httpd mariadb-server php php-pdo php-mysqlnd php-cli php-gd git -y

Una volta installati tutti i pacchetti necessari, modifica il file php.ini con il seguente comando:

nano /etc/php.ini

Modifica le seguenti righe:

allow_url_fopen = On
allow_url_include = On
display_errors = Off

Salva e chiudi il file quando hai finito, quindi avvia il servizio Apache e MariaDB e abilitali all'avvio al riavvio del sistema:

systemctl start httpd
systemctl enable httpd
systemctl start mariadb
systemctl enable mariadb

Una volta terminato, puoi procedere al passaggio successivo.

Configura MariaDB

Successivamente, sarà necessario creare un database e un utente per DVWA. Innanzitutto, connettiti a MariaDB con il seguente comando:

mysql

Una volta connesso, crea un database e un utente con il seguente comando:

MariaDB [(none)]> create database dvwa;
MariaDB [(none)]> grant all on dvwa.* to  identified by 'password';

Successivamente, scarica i privilegi ed esci da MariaDB con il seguente comando:

MariaDB [(none)]> flush privileges;
MariaDB [(none)]> exit;

Una volta terminato, puoi procedere al passaggio successivo.

Scarica DVWA

Innanzitutto, dovrai scaricare l'ultima versione di DVWA dal repository Git. Puoi scaricarlo con il seguente comando:

git clone https://github.com/ethicalhack3r/DVWA /var/www/html/

Una volta completato il download, cambia la directory nella directory config e copia il file di configurazione di esempio:

cd /var/www/html/config/
cp config.inc.php.dist config.inc.php

Quindi, modifica il file di configurazione con il seguente comando:

nano /var/www/html/config/config.inc.php

Definisci i dettagli del tuo database come mostrato di seguito:

$_DVWA[ 'db_server' ]   = '127.0.0.1';
$_DVWA[ 'db_database' ] = 'dvwa';
$_DVWA[ 'db_user' ]     = 'dvwa';
$_DVWA[ 'db_password' ] = 'password'; 

# You'll need to generate your own keys at: https://www.google.com/recaptcha/admin

$_DVWA[ 'recaptcha_public_key' ]  = '6LewiQgbAAAAAEZlwAfH88bpdk1n06gn_Qc2Cyhb';
$_DVWA[ 'recaptcha_private_key' ] = '6LewiQgbAAAAAMVHAi4wFAIt9150QqbgcOkRBSZ7';

Salva e chiudi il file quando hai finito.

Nota: puoi generare i valori di riacquisizione dal servizio Google.

Quindi, imposta l'autorizzazione e la proprietà appropriate sulla directory principale di Apache con il seguente comando:

chown -R apache:apache /var/www/html

Successivamente, riavvia il servizio Apache e MariaDB per applicare le modifiche:

systemctl restart mariadb httpd

A questo punto, DVWA è installato e configurato. Ora puoi procedere al passaggio successivo.

Configura SELinux e Firewall

Per impostazione predefinita, SELinux è abilitato in CentOS 8, quindi dovrai configurare SELinux per accedere a DVWA.

Eseguire il comando seguente per configurare su SELinux:

setsebool -P httpd_unified 1
setsebool -P httpd_can_network_connect 1
setsebool -P httpd_can_network_connect_db 1

Successivamente, dovrai anche consentire la porta 80 attraverso il firewalld. Puoi consentirlo con il seguente comando:

firewall-cmd --permanent --zone public --add-port 80/tcp

Successivamente, ricarica il firewalld per applicare le modifiche:

firewall-cmd --reload

A questo punto, SELinux e Firewalld sono configurati per consentire DVWA. Ora puoi procedere al passaggio successivo.

Accedi all'interfaccia utente Web DVWA

Ora, apri il tuo browser web e accedi all'interfaccia web DVWA usando l'URL http://your-server-ip/setup.php. Verrai reindirizzato alla seguente pagina:

Successivamente, fare clic su Reset/Database per configurare le impostazioni di connessione al database DVWA. Dovresti vedere la seguente pagina:

Fornire nome utente predefinito: admin, password: password e fare clic sul pulsante Accedi. Dovresti vedere la dashboard DVWA nella pagina seguente:

Conclusione

Congratulazioni! hai installato correttamente DVWA con Apache su CentOS 8. Ora puoi utilizzare nuove tecniche per hackerare le vulnerabilità comuni. Non esitate a chiedermi se avete domande.