반응형
[웹 보안] DVWA 설치하기
*이글은 과거에 DVWA로 실습했던 글을 다시올리는거여서 현재 버전과 맞지 않을 수 있음*
1. DVWA 개요
DVWA(Damn Vunlerable Web Application)은 취약한 웹 어플리케이션으로 웹 모의해킹을 연습하기 위한 어플리케이션
DVWA는 리눅스기반의 OS에서 `Apache` + `PHP` + `MySQL(또는 MariaDB)`로 이루어져있다.
2. Kali Linux에 DVWA 설치하기
📌 Kali Linux 설치하기
1) https://www.kali.org/downloads/ 에서 ios다운
2) Oracle VM VirtualBox에 ios파일을 넣어서 설치
📌 DVWA 설치하기
1) 설치파일 다운받기
- www.dvwa.co.uk 홈페이지에서 `DVWA-1.9.zip` 파일 다운로드 (요즘은 github를 통해 다운해서 사용. 링크:https://github.com/digininja/DVWA)
- `/root/Downloads` 로 파일이 다운되면 해당 디렉터리로 이동
- 압축 해제 `unzip DVWA-1.9.zip`
2) DVWA 폴더 이름 변경 및 apache2 디렉토리 이동, 권한 주기
- `mv DVWA-1.9 dvwa` DVWA-1.9 디렉토리 이름을 dvwa로 변경
- `mv dvwa/ /var/www/html` dvwa 디렉토리를 /var/www/html로 이동시킴
- `cd /var/www/html`
- `chmod -R 755 /var/www/html/dvwa/` 권한 설정
3) `config.inc.php` 파일 수정하기
- `cd /var/www/html/dvwa/config` 로 이동
- `vi config.inc.php` 파일 수정
- `db_password` 부분은 ''(공백)으로 만든다
4) dvwa database 만들기
- `service mysql restart`로 mysql 재시작
- `mysql -u root -p` user는 root password는 없음 (Enter만 입력)
- `create database dvwa;`로 dvwa라는 database를 만듦
- `show databases;`
5) curl 사용하기
- `curl --data 'create db=create+%2F+Reset+Database'`
- http://127.0.0.1/dvwa/setup.php# --cookie PHPSESSID=1
- `service apache2 restart`로 apache 재시작
6) DVWA 웹 접속
- 127.0.0.1/dvwa/login.php 또는 localhost/dvwa/login.php로 접속
- id : admin / pw : password
3. 그외 DVWA 설치 환경 조성하기
- Setup/ Reset DB에서 Disabled된 화면을 볼 수 있다.
- `chmod 777 -R /var/www/html/dvwa/hackable/uploads`
- `chmod 666 /var/www/html/dvwa/external/phpids/0.6/lib/IDS/tmp/phpids_log.txt`
- `vi /etc/php/7.0/apache2/php.ini`에서 allow_url_include=Off > On으로 변경
- `sudo apt-get install php7.0-gd` (php기 5.x 버전이면 `sudo apt-get install php5-gd`)
- reCAPTCHA key는 https://www.google.com/recaptcha/admin/create 에서 만들어서 `/var/www/html/dvwa/config`에 있는 `config.inc.php`의 `recaptcha_public_key`와 `recaptcha_private_key`에 넣어주기
반응형
