Як встановити DVWA в Калі Лінукс?

У статті описується поетапно як встановити DVWA в Калі Лінукс 2017. Це PHP / MySQL додаток, яке нарочито пронизане уразливими, щоб ми з вами могли просто потренуватися для придбання спеціальних навичок.

Як встановити DVWA в Калі Лінукс: умови і план установки.

  • настройка і доустановка необхідного в Калі Лінукс Rolling 2017
  • обліковий запис в Google
  • огляд помилок

Починаємо установку.

  • Качаємо zip-архів з DVWA за посиланням зі сторінки “винахідників”. Пряме посилання не даю, щоб інформація була завжди свіжою і не вказувати на застарілі джерела:

http://www.dvwa.co.uk/

  • Шукайте на сторінці кнопку Download. Розпаковуємо архів на Робочий стіл, в останніх збірках він іменується як DVWA-master. І для зручності в подальшій з ним роботі перейменуємо. Природно, напрошується ім’я. Цю папку перемістіть в директорію за адресою:

/ Var / www / html /

  • Відразу отримуємо до неї всі права через термінал, відкритий в цій папці, щоб не було проблем з доступом і зміною з файлами (це дозволить в майбутньому уникнути багатьох помилок):

chmod -R 777 dvwa

Як встановити DVWA в Калі інших версій?

На секунду відверну. Самі розробники побічно, а деякі “супер-хакери” запевняють, що DVWA працює тільки з php 5 версії. У Калі давно сидить версія php7, і тому деякі радять її видалити, а потім поставити 5-ю версію. Це занадто, а тому я спробував обидві версії поєднати. Мені невідомо, наскільки коректно працювала б DVWA без рухів тіла з наступного абзацу, але я все-таки додав пакети вже не підтримуваного PHP 5.6.30 до своєї Debian 9 ось цими командами з терміналу:

apt-get install apt-transport-https lsb-release ca-certificates
wget -O /etc/apt/trusted.gpg.d/php.gpg https://packages.sury.org/php/apt.gpg
echo “deb https://packages.sury.org/php/ $ (lsb_release -sc) main” > /etc/apt/sources.list.d/php.list
apt-get update

Однак на проби про встановлену в Калі версії php нічого, крім тієї ж php 7 не відгукнулося:

dpkg -l | grep php

Все, що описано вище стосується саме збірки Калі Лінукс 2017. З 2016-й версії ну ніяк я не зміг домогтися коректної відповіді від сторінки реєстрації: явно неправильно працював php. Причому я танцював з бубном на великій кількості збірок Калі Rolling 2016: все без толку; мабуть, розуму не вистачило. Не можу давати поради глобального масштабу, але всі мої більш-менш серйозні маніпуляції закінчувалися крахом системи, так що застерігаю вас від сліпих рад по перебудови прошитого php. Не робіть того, чого не знаєте.

У цій збірці ніяких маніпуляцій з php тут проводити нам взагалі не доведеться.

Як встановити DVWA в Калі: йдемо далі.

  • Вирушаємо до файлу config.inc.php.dist, який лежить в папці / var / www / html / dvwa / config і перейменовуємо його, відсікаючи розширення. Він стає файлом config.inc.php

Відразу відкриваємо його і знаходимо рядок:

$ _DVWA [ ‘db_password’]

вичищаємо символи password, залишивши тільки одинарні лапки, забезпечивши доступ до користувача root (Якщо ви будете працювати з-під іншого користувача, доведеться змінити рядком вище і root-а на ім’я користувача, пізніше привласнивши йому права; я цього робити не збираюся, так що пропускаємо хід). У цьому пункті, однак, вас можуть підстерігати деякі помилки (останній абзац).

  • Запускаємо Апач і SQL:

service mysql start && service apache2 start

  • Підготуємо однойменну СУБД (це можна буде зробити і пізніше, проте …):

mysql -u root -p

Поле Enter password пропускаємо, натиснувши Enter. Вводимо команду:

create database dvwa;

перевірте, чи з’явилася вона в числі інших:

show databases

виходимо командою exit.

Тут знову відступ. Розробників DVWA наполягають на тому, що з-під root користувача, працюючи з базою Maria, нічого з подальшого вийде. І для роботи необхідно створити базу даних, доступну окремо для імені іншого користувача. З цього приводу деяка інформація з’явиться в розділі Ймовірні помилки.

  • Йдемо далі. Рестартуем сервер і базу:

service mysql restart && service apache2 restart

  • Відкриваємо браузер і вводимо адресу localhost / dvwa. Ви повинні побачити вікно вітання:

До речі, внизу сторінки повинна бути кнопка, яка відтворює в разі необхідності створену нами СУБД. Зверніть увагу на червоний шрифт деяких пунктів. Ці настройки краще відразу підправити. Знайдемо ось цей документ настройки:

leafpad /etc/php/7.0/apache2/php.ini

Сподіваюся, ви не відкрили порожній документ. За допомогою Ctrl + F шукаємо в документі всі директиви allow_. Замінюємо на On (вона тільки одна). Зберігаємося і виходимо:

Це повинно виправити дозволу на відсутню функцію php.

  • Як бачите, це ще не все. Щоб доустановити необхідний модуль, через термінал доустановити бібліотечку:

apt-get install php-gd

Перезавантажити сторінку, в разі потреби знову рестарту обидва сервісу. Усі позиції, крім ключа recaptcha повинні змінити колір в зелений:

  • Тепер нам потрібно отримати для нашого сайту ключ на установку капчи. У мене це багато часу не забрало: в Google у мене давно є аккаунт. Якщо у вас немає – обзаведіться. Я обидва ключа отримав тут:

А ось і вони:

Вводимо обидва в відповідні поля у відомому нам документі, відкритому через термінал:

leafpad /var/www/html/dvwa/config/config.inc.php

Перезавантажити сторінку в DVWA браузері і перевіримо:

Тепер момент істини: внизу нас чекає кнопка Create / Reset Datebase. Тиснемо, і внизу сторінки ми повинні побачити поля введення інформації про реєстрацію нового користувача. Ця сторінка автоматично перенаправить вас на сторінку реєстрації, де ви повинні заповнити поля як admin і ввести пароль password і, погравши зі складністю ступеня уразливості додатки в DVWA Security (вибирайте), можете приступати до тренувань.

Як встановити DVWA в Калі: ймовірні помилки.

Практично всі складнощі крутяться навколо тільки двох налаштувань. це:

  • використання правильного видання php
  • невірна конфігурація файлу config.inc.php: безперервна помилка фінального етапу при спробі залогінитися, коли після натискання на кнопку Create / Reset Database сторінка продовжує повертати повідомлення

Could not connect to the MySQL service. Please check the config file dvwa.

Про версії PHP

Повторюся, в Калі 2016 проблема для мене виявилася нерозв’язною. Сторінка Instructions DVWA прямо вказує на те, що для коректної роботи необхідно використовувати версію php5, тут же даючи при цьому приклад команди apt-get, яка допоможе завантажити необхідні пакети.

Поки я намагався встановити DVWA в Калі, мені результати завжди повертали повідомлен
ня про те, що такі пакети вже недоступні. Теоретично їх можна скачати зазначеними вище командами, але, знову ж таки повторюся, для мене все закінчилося безглуздо. Однак, перейшовши на наступну версію Калі Rolling 2017 про проблему сумісності версій “пхп” я відразу забув. Що робив не так, не розумію до сих пір.

Помилка Could not connect to the MySQL service …

Тут простіше, однак користувача можуть збити не стільки настройки зазначеного файлу, скільки відсутність досвіду поводження з БД, зокрема встановленої в Debian MariaDB. Розробників DVWA на тій же сторінці за посиланням Instructions змушують користувачів Калі створити користувача не-root, і передати йому необхідні привілеї. Якщо помилка Could not connect to the MySQL service стала для вас нездоланною розміром, зробіть так:

  • Для встановленої MySQL в Калі пароль root-а порожній. Задамо його з-під root-користувача:

mysql_secure_installation

щоб не плутатися, я поставив його таким же як і на учетку root (при введенні, нагадаю, пароль не відображається):

Перевірте, що ваші настройки виглядають так, як на фото. А тепер, коли пароль на MariaDB заданий, повторіть процедуру конфігурації бази dvwa і налаштувань файлу приблизно так ( “тупо” не повторюйте, а стежте за логікою):

  • , якщо його ще немає (не знаю чому у вас його ще немає, до речі). Я створю користувача 1 з паролем “321”.
  • в root запускаю базу даних, щоб делегувати повноваження новому користувачеві 1 такими командами:

service mysql restart && service apache2 restart
mysql -u root -p
flush privileges;

  • повернемося до файлу config.inc.php в директорії / var / www / html / dvwa / config. Налаштування тепер приймуть такий вигляд:

Зберегти. Перезавантажити сервіси і веб-сторінку з DVWA. Пробуємо. Якщо “щось подекуди у вас часом …”, частіше перезавантажувати сторінку і обидва сервісу.

Успіхів.

Ссылка на основную публикацию