verdomd kwetsbare webapplicatie te installeren op CentOS 8

DVWA, ook wel “Damn Vulnerable Web App” genoemd, is een gratis en open-source kwetsbare webapplicatie. Het is ontworpen voor beveiligingsprofessionals om hun vaardigheden te testen en de beveiligingsprocessen van webapplicaties te begrijpen. Het biedt een platform om te experimenteren met nieuwe penetratietestgereedschappen en nieuwe exploitatietechnieken te oefenen om veel voorkomende kwetsbaarheden uit te buiten.

In dit bericht laten we zien hoe je een Damn Vulnerable Web App installeert op een CentOS 8 server.

Voorwaarden

  • Een server waarop CentOS 8 draait.
  • Een root wachtwoord is geconfigureerd op de server.

Installeer Apache, MariaDB en PHP

DVWA is een op PHP en MySQL gebaseerde applicatie. Je moet dus Apache webserver, MariaDB, PHP en andere vereiste uitbreidingen op je server installeren. Je kunt ze allemaal installeren met het volgende commando:

dnf install httpd mariadb-server php php-pdo php-mysqlnd php-cli php-gd git -y

Zodra alle benodigde pakketten zijn geïnstalleerd, bewerk je het bestand php.ini met het volgende commando:

nano /etc/php.ini

Wijzig de volgende regels:

allow_url_fopen = On
allow_url_include = On
display_errors = Off

Sla het bestand op en sluit het als je klaar bent en start dan de Apache en MariaDB service, en schakel ze in om te starten bij het opnieuw opstarten van het systeem:

systemctl start httpd
systemctl enable httpd
systemctl start mariadb
systemctl enable mariadb

Als je klaar bent, kun je doorgaan met de volgende stap.

MariaDB configureren

Vervolgens moet je een database en gebruiker aanmaken voor DVWA. Maak eerst verbinding met de MariaDB met het volgende commando:

mysql

Zodra je verbonden bent, maak je een database en gebruiker aan met het volgende commando:

MariaDB [(none)]> create database dvwa;
MariaDB [(none)]> grant all on dvwa.* to [email protected] identified by 'password';

Spoel vervolgens de privileges door en verlaat de MariaDB met het volgende commando:

MariaDB [(none)]> flush privileges;
MariaDB [(none)]> exit;

Als je klaar bent, kun je doorgaan met de volgende stap.

DVWA downloaden

Eerst moet je de nieuwste versie van DVWA downloaden van de Git repository. Je kunt het downloaden met het volgende commando:

git clone https://github.com/ethicalhack3r/DVWA /var/www/html/

Als de download voltooid is, verander dan de map naar de config map en kopieer het voorbeeld configuratiebestand:

cd /var/www/html/config/
cp config.inc.php.dist config.inc.php

Bewerk vervolgens het config-bestand met het volgende commando:

nano /var/www/html/config/config.inc.php

Definieer je database details zoals hieronder getoond:

$_DVWA[ 'db_server' ]   = '127.0.0.1';
$_DVWA[ 'db_database' ] = 'dvwa';
$_DVWA[ 'db_user' ]     = 'dvwa';
$_DVWA[ 'db_password' ] = 'password'; 

# You'll need to generate your own keys at: https://www.google.com/recaptcha/admin

$_DVWA[ 'recaptcha_public_key' ]  = '6LewiQgbAAAAAEZlwAfH88bpdk1n06gn_Qc2Cyhb';
$_DVWA[ 'recaptcha_private_key' ] = '6LewiQgbAAAAAMVHAi4wFAIt9150QqbgcOkRBSZ7';

Sla het bestand op en sluit het als je klaar bent.

Opmerking: Je kunt de herhalingswaarden van de Google service genereren.

Stel vervolgens de juiste toestemming en eigendom in op de Apache root directory met het volgende commando:

chown -R apache:apache /var/www/html

Start vervolgens de Apache en MariaDB service opnieuw op om de wijzigingen toe te passen:

systemctl restart mariadb httpd

Op dit punt is DVWA geïnstalleerd en geconfigureerd. Je kunt nu doorgaan met de volgende stap.

SELinux en Firewall configureren

Standaard is SELinux ingeschakeld in CentOS 8, dus je moet SELinux configureren om toegang te krijgen tot de DVWA.

Voer het volgende commando uit om SELinux te configureren:

setsebool -P httpd_unified 1
setsebool -P httpd_can_network_connect 1
setsebool -P httpd_can_network_connect_db 1

Vervolgens moet je ook poort 80 toestaan via de firewalld. Die kun je toestaan met het volgende commando:

firewall-cmd --permanent --zone public --add-port 80/tcp

Herlaad vervolgens de firewalld om de wijzigingen toe te passen:

firewall-cmd --reload

Op dit punt zijn SELinux en Firewalld geconfigureerd om DVWA toe te staan. Je kunt nu doorgaan met de volgende stap.

Toegang tot de DVWA Web UI

Open nu je webbrowser en ga naar de DVWA webinterface via de URL http://your-server-ip/setup.php. Je wordt doorgestuurd naar de volgende pagina:

Database opzet

PHP instellingen

Klik vervolgens op Reset/Database om de DVWA database verbindingsinstellingen te configureren. Je zou de volgende pagina moeten zien:

Inloggen

Geef standaard gebruikersnaam: admin, wachtwoord: password en klik op de knop Aanmelden. Je zou op de volgende pagina het DVWA-dashboard moeten zien:

DWA-dashboard

Conclusie

Gefeliciteerd! je hebt DVWA met succes geïnstalleerd met Apache op CentOS 8. Je kunt nu nieuwe technieken gebruiken om veel voorkomende kwetsbaarheden te hacken. Stel me gerust als je vragen hebt.