DVWA, auch "Damn Vulnerable Web App" genannt, ist eine kostenlose und angreifbare Open-Source-Webanwendung. Es wurde für Sicherheitsexperten entwickelt, um ihre Fähigkeiten zu testen und Sicherheitsprozesse für Webanwendungen zu verstehen. Es bietet eine Plattform, um mit neuen Penetrationstest-Tools zu experimentieren und neue Ausnutzungstechniken zu üben, um häufige Schwachstellen auszunutzen.
In diesem Beitrag zeigen wir Ihnen, wie Sie eine Damn Vulnerable Web App auf einem CentOS 8-Server installieren.
Voraussetzungen
- Ein Server mit CentOS 8.
- Auf dem Server ist ein Root-Passwort konfiguriert.
Installieren Sie Apache, MariaDB und PHP
DVWA ist eine auf PHP und MySQL basierende Anwendung. Sie müssen also den Apache-Webserver, MariaDB, PHP und andere erforderliche Erweiterungen auf Ihrem Server installieren. Sie können alle mit dem folgenden Befehl installieren:
dnf install httpd mariadb-server php php-pdo php-mysqlnd php-cli php-gd git -y
Sobald alle erforderlichen Pakete installiert sind, bearbeiten Sie die Datei php.ini mit dem folgenden Befehl:
nano /etc/php.ini
Ändern Sie die folgenden Zeilen:
allow_url_fopen =Onallow_url_include =Ondisplay_errors =Aus
Speichern und schließen Sie die Datei, wenn Sie fertig sind, starten Sie dann den Apache- und MariaDB-Dienst und ermöglichen Sie ihnen, beim Systemneustart zu starten:
systemctl start httpd
systemctl enable httpd
systemctl start mariadb
systemctl enable mariadb
Wenn Sie fertig sind, können Sie mit dem nächsten Schritt fortfahren.
MariaDB konfigurieren
Als Nächstes müssen Sie eine Datenbank und einen Benutzer für DVWA erstellen. Verbinden Sie sich zunächst mit dem folgenden Befehl mit der MariaDB:
mysql
Sobald Sie verbunden sind, erstellen Sie eine Datenbank und einen Benutzer mit dem folgenden Befehl:
MariaDB [(keine)]> Datenbank dvwa erstellen;
MariaDB [(keine)]> alle auf dvwa.* gewähren an [E-Mail-geschützt] identifiziert durch 'Passwort';
Leeren Sie als Nächstes die Berechtigungen und beenden Sie die MariaDB mit dem folgenden Befehl:
MariaDB [(none)]> Flush-Berechtigungen;
MariaDB [(none)]> exit;
Wenn Sie fertig sind, können Sie mit dem nächsten Schritt fortfahren.
DVWA herunterladen
Zunächst müssen Sie die neueste Version von DVWA aus dem Git-Repository herunterladen. Sie können es mit dem folgenden Befehl herunterladen:
git-Klon https://github.com/ethicalhack3r/DVWA /var/www/html/
Sobald der Download abgeschlossen ist, ändern Sie das Verzeichnis in das Verzeichnis config und kopieren Sie die Beispielkonfigurationsdatei:
cd /var/www/html/config/
cp config.inc.php.dist config.inc.php
Als nächstes bearbeiten Sie die Konfigurationsdatei mit dem folgenden Befehl:
nano /var/www/html/config/config.inc.php
Definieren Sie Ihre Datenbankdetails wie unten gezeigt:
$_DVWA[ 'db_server' ] ='127.0.0.1';$_DVWA[ 'db_database' ] ='dvwa';$_DVWA[ 'db_user' ] ='dvwa';$_DVWA[ 'db_password' ] =' Passwort'; # Sie müssen Ihre eigenen Schlüssel generieren unter:https://www.google.com/recaptcha/admin$_DVWA[ 'recaptcha_public_key' ] ='6LewiQgbAAAAAEZlwAfH88bpdk1n06gn_Qc2Cyhb';$_DVWA[ 'recaptcha_private_key' ] ='6LewiQgbAAAAAMVHAi4wFAIt9150Q /pre>Speichern und schließen Sie die Datei, wenn Sie fertig sind.
Hinweis:Sie können die Recapture-Werte vom Google-Dienst generieren.
Legen Sie als Nächstes mit dem folgenden Befehl die richtige Berechtigung und den Besitz für das Apache-Stammverzeichnis fest:
chown -R apache:apache /var/www/htmlStarten Sie als Nächstes den Apache- und MariaDB-Dienst neu, um die Änderungen zu übernehmen:
systemctl startet mariadb httpd neuAn diesem Punkt ist DVWA installiert und konfiguriert. Sie können jetzt mit dem nächsten Schritt fortfahren.
Konfigurieren Sie SELinux und die Firewall
Standardmäßig ist SELinux in CentOS 8 aktiviert, sodass Sie SELinux für den Zugriff auf DVWA konfigurieren müssen.
Führen Sie den folgenden Befehl aus, um SELinux zu konfigurieren:
setsebool -P httpd_unified 1
setsebool -P httpd_can_network_connect 1
setsebool -P httpd_can_network_connect_db 1Als nächstes müssen Sie auch Port 80 durch die Firewall zulassen. Sie können es mit dem folgenden Befehl zulassen:
firewall-cmd --permanent --zone public --add-port 80/tcpAls nächstes laden Sie die Firewall neu, um die Änderungen zu übernehmen:
firewall-cmd --reloadAn diesem Punkt sind SELinux und Firewalld so konfiguriert, dass sie DVWA zulassen. Sie können jetzt mit dem nächsten Schritt fortfahren.
Zugriff auf die DVWA-Web-UI
Öffnen Sie nun Ihren Webbrowser und greifen Sie über die URL http://your-server-ip/setup.php auf die DVWA-Weboberfläche zu . Sie werden auf die folgende Seite weitergeleitet:
Klicken Sie anschließend auf Zurücksetzen/Datenbank um die DVWA-Datenbankverbindungseinstellungen zu konfigurieren. Sie sollten die folgende Seite sehen:
Geben Sie den Standard-Benutzernamen:admin, das Passwort:password ein und klicken Sie auf Anmelden Taste. Sie sollten das DVWA-Dashboard auf der folgenden Seite sehen:
Schlussfolgerung
Herzliche Glückwünsche! Sie haben DVWA mit Apache erfolgreich auf CentOS 8 installiert. Sie können jetzt neue Techniken verwenden, um häufige Schwachstellen zu hacken. Fühlen Sie sich frei, mich zu fragen, wenn Sie irgendwelche Fragen haben.
