viernes, 23 de marzo de 2012

DVWAP + XAMPP en Ubuntu

 
 En esta entrada voy a hablaros sobre DVWA un framework que nos permite practicar diversos ataques a infraestructuras web (XSS, SQLi, File inclusion...), todo esto sin meternos en problemas legales.
  Siendo novato en estos temas (a diferencia de mis compañeros de blog ;)) me está viniendo bastante bien para conocer los fundamentos de estos ataques de forma fácil y controlada, con lo que me dispongo a comentaros como instalar este interesante banco de pruebas de la forma más simple posible.

Nota: La instalación la he realizado en una máquina virtual con Ubuntu 10.04 y XAMPP, por tanto explicare como configurarlo sobre esta distribución.


[---] Lo primero será configurar XAMPP con la finalidad de hacer funcionar después DVWA sobre este, para ello partimos de un Ubuntu instalado (su instalación es muy simple y no entra en la finalidad de este post), así que descargamos XAMPP de su web :
http://www.apachefriends.org/download.php?xampp-linux-1.7.7.tar.gz
y procedemos a la instalación como muy bien nos explican en su web:
[+] Nos autenticamos como root:
su
[+] Extraemos el archivo descargado en /opt:
tar xvfz xampp-linux-1.7.7.tar.gz -C /opt
[+] Esto instalará un apache+php+mysql en /opt/lampp.

[+] Para ejecutarlo basta con:
/opt/lampp/lampp start
y veremos algo como esto:
Starting XAMPP for Linux 1.7.7...
XAMPP: Starting Apache with SSL (and PHP5)...
XAMPP: Starting MySQL...
XAMPP: Starting ProFTPD...
XAMPP for Linux started.
[+] Para finalizar este paso comprobaremos que está correctamente instalado poniendo en nuestro navegador:
http://localhost


[---] Una vez instalada la base(XAMPP) vamos a descargar DVWA e "instalarlo", esto lo podemos hacer desde:
http://dvwa.googlecode.com/files/DVWA-1.0.7.zip
y nos descargará un pequeño archivo de 1,3 Mb.

[+] Nuestro siguiente movimiento será extraerlo en /opt/lampp/htdocs:
unzip DVWA-1.0.7.zip -d /opt/lampp/htdocs/
[+] Comprobamos que todo funciona bien accediendo con el navegador a:
http://localhost/dvwa

[+] En este momento veremos una pantalla de login, que tenemos que rellenar con:
Username = admin
Password = password
    y pulsamos en "login" con lo que accederemos al panel principal de la aplicación.

 [+] Por último solo nos quedará instalar/configurar la base de datos de DVWA, esto es tan simple como:
 Menú derecho -> Setup y pulsamos en "Create/Reset Database"

Con esto ya tendremos todo configurado para poder acercarnos a este mundo de una forma controlada, segura y sin complicaciones.

Antes de despedirme comentaros que esta implementación de DVWA dista muchísimo de ser segura, tanto la configuración de XAMPP como de la aplicación no son seguros y deberían instalarse en un entorno controlado para evitar sustos.

Ahora sí me despido, nos leemos en breve ;)

Aetsu


5 0verl0ad Labs: DVWAP + XAMPP en Ubuntu    En esta entrada voy a hablaros sobre DVWA un framework que nos permite practicar diversos ataques a infraestructuras web (XSS, SQLi,...

1 comentario:

Anónimo dijo...

Buenisimo hermano, no conocia de este proyecto, supongo que surgio a raiz del proyecto de aquella distro llamada DVL (Damn Vulnerable Linux) pero luego lo descontinuaron....este esta super, ahora podre practicar algunas cosillas de forma mas segura, sin joder xD

Saludos!

< >