domingo, 27 de dezembro de 2015

Setup do DVWA( Damn Vulnerable Web Application) no Debian 8 com LAMP simples


O DVWA (Damn Vulnerable Web Application) é uma plataforma web com várias falhas para que você possa testar suas skills em ambiente controlado, seguindo a premissa de entender o contexto das falhas e tentar explorá-las da forma mais root possível sem o uso de ferramentas (ou entender o máximo sobre elas e descobrir como adaptar as ferramentas). Lembrando que a maioria dos Scans não funcionam dentro da DVWA na forma crua, como você pode ver na imagem abaixo. Cabe a você tentar brincar com os resultados.



Gosto dela e não tenho medo algum de levá-la para meus alunos testarem suas habilidades de Pentest, pelo simples motivo de torná-los experientes no obvio antes de qualquer coisa.  Neste tutorial estarei mostrando como configurar a aplicação em cima de um servidorzinho virtual em Debian 8, onde estaremos antes realizando o setup de um servidor Web simples e de uma base MySQL.

Instalando um LAMP (Linux, Apache, MySQL e PHP) Simples 

 # sudo apt-get install apache2 php5 php5-mysql php5-gd apache2-utils mysql-server libapache2-mod-php5 php-pear  
 # sudo a2enmod php5  

Iniciando e habilitando os serviços do LAMP na inicialização do Sistema

 # systemctl enable apache2  
 # systemctl start apache2  
 # systemctl enable mysql   
 # systemctl start mysql  


Criando a Database 

 # mysql -u root -p   
 mysql > create database dvwa;  
 mysql > quit;  

Fazendo o Download do DVWA pela sorce

 # cd /var/www/html  
 # wget https://github.com/RandomStorm/DVWA/archive/v1.9.zip  
 # unzip v1.9.zip  
 # mv DVWA-1.9/ dvwa 
 # chmod 777 /var/www/html/dvwa -R


Configuração de pré-instalação da aplicação 

Primeiramente, como já configuramos o banco de dados, necessitamos apenas colocar as informações pertinentes ao mesmo dentro do arquivo de configurações do DVWA, é muito simples. Ele já vem pré-habilitado para trabalhar com MySQL, então nosso único trabalho é configurar as credenciais
 # vim dvwa/config/config.inc.php  



Agora no navegador, basta digitar http://ip-do-servidor/dvwa/setup.php e clicar em 'Create / Reset Database' para criar as tabelas e configurar os dados pertinentes as mesmas. Se tudo der certo, é só acessar a url novamente, http://ip-do-servidor/dvwa/ e irá se deparar com a tela de login do sistema.







Mudando o nível de dificuldade da aplicação. 


Para mudar o nível de dificuldade dos testes na aplicação, você precisará ir até o menu "DVWA Security" e clicar e selecionar qual nível deseja aplicar em seguida clicar em "Submit". Lembrando que todos esses nível trabalham por meio de cookies (dica)

SOBRE O AUTOR

Matheus Fidelis

http://msfidelis.github.io/

Power Ranger, Piloto de Helicópteros e Astronauta da NASA. Desenvolvedor Web PHP com foco em Backend e POO, Linux SysAdmin DevOps e Entusiasta Python. Criou esse site pra contribuir com a comunidade com coisas que aprende dentro de um setor maluco de TI :)

Postar um comentário

 
Nanoshots | Open Source Security, Linux e Tutoriais © 2015 - Designed by Templateism.com