Kali linux에서 DVWA 환경 구성 및 Burp Suite 설치

DVWA 란?

Damn Vulnerable Web Application

웹 취약점을 연구할 수 있도록 취약하게 설정되어 있는 웹 어플리케이션 서비스 환경이다.

취약점을 분석할 수 있는 항목은 무작위 대입 공격부터 크로스 사이트 스크립팅 취약점까지 실 서비스에서 많이 발생되는 취약점 위주로 편성되어 있다.

웹 모의해킹을 학습/연구 목적으로 Apache + PHP + MySQL으로 구성되어 있으며

초급(Low),중급(Medium),고급(High) 레벨로 분류되어 있다.

레벨이 높아질수록 시큐어 코딩이 강하게 적용되어 있다.

 

Xampp 설치

https://www.apachefriends.org/

 

2022년도 Kali linux 이미지를 사용하였을 때는 문제없이 진행되었는데 2023년도 Kali linux 이미지에서는 똑같이 진행하였을 때 최신의 PHP 버전을 지원하지 못하는 것인지 로그인 페이지가 blank 페이지로 나오는 등 정상적으로 사용할 수 없다.

 

Kali linux 내 자체적인 apache2가 아닌  XAMPP(APM)를 이용하여 웹서버 환경을 구성하였다.

PHP 버전을 구버전으로 사용하고 싶을 때 등 과거버전이 필요할 때는

https://sourceforge.net/projects/xampp/files/

에서 다운받을 수 있다. 

DVWA 환경이 PHP5 에서만 작동한다고 하여  5.6.40 버전을 다운받았다.

 

 

 

xampp파일에게 실행권한인 x 를 주면 초록색으로 바뀐다.그 후 xampp 설치파일을 실행시킨다.

 

 

'''

XAMPP는 PHP 버전을 따라간다고 한다. 

XAMPP 5.6.40은 PHP 5.6.40 이다.

 

cd /opt/ampp

./manager-linux-x64.run

xampp 실행된다.

'''

 

설치가 끝나고 Go to application 을 눌러 실행시킨다.

아래는 실행되고 있을 때 localhost 라고 치면 나오는 화면

 

 

 

 

Manage Servers 탭에서 MySQL Database, ProFTPD, Apache Web Server 등을 멈추거나 시작할 수 있다.

 

nano 편집기를 사용하여 /opt/lampp/tec/php.ini 파일을 열어서

Ctrl + w  fopen

allow_url_include=On 으로 변경

Ctrl + o  저장 후 엔터

Ctrl + x 나오기

 

그 후 Apache Web server 를 재시작(Restart)해준다.

 

 

DVWA  환경 구성

 

https://github.com/digininja/DVWA 에서 download a Zip of the files 클릭하여 다운로드

 

 

 

다운받은 DVWA-master.zip  압축풀기

 

 

 

이 상태에서 DVWA 로 접속하면

config 파일을 찾을 수 없고 config.inc.php.dist를 config.inc.php 로 복사시키라고 하라고 안내한다.

압축 푼 것 dvwa라는 폴더로 옮기고 config 디렉토리에서  안내한대로 실행한다.

 

 

 

db_user =  'admin'

db_password = 'password' 변경

 

 

 

create database dvwa

=>dvwa 데이터베이스를 생성

 create user admin@localhost identified by 'password';
=>config.ini.php 파일에 입력되어 있는 패스워드와 동일하게 설정

grant all privileges on dvwa.* to admin@localhost;
=>admin 계정에 dvwa 데이터베이스에 대한 권한 부여

flush privileges;

=>grant 테이블을 reload하여 변경사항 반영

 

mysql 을 시작하고 enter password가 나오면 엔터 한번 더 누른다.

 

localhost/dvwa 접속해서 로그인 시 나오는 설정화면이다.

chmod 777 다음에 위의 빨간색 박스안에 경로를 적어서

쓰기 권한을 주면 Yes로 바뀐다.

reCAPTCHA key 는 다음에 설정해주도록 하겠다.

 

 

 

Burp Suite 설치

 

Kali 기본적으로 있는 Burpsuite 에 접속한다.

Temporary project - Use Burp defaults  - Start Burp 시작!

 

 

 

 

Firefox - Settings 클릭

 

 

 

General -Settings 클릭

Burp suite의 Proxy Listeners에 있는 127.0.0.1 그리고 포트는 8080 입력 (HTTPS 체크)

 

 

 

 

 

 

Burp suite의 Certificate를 export한다.

 

bs.der 라는 파일에 export 한다.

 

 

 

 

생성한 bs.der 라는 certificate를 firefox 브라우저에 설정한다.

Privacy & Security - View Certificates 클릭하여 bs.der 파일을 open 한다.

 

 

'Intercept is on' 상태가 되면  Burpsuite가 이제 브라우저에서 서버로 요청하는 데이터 가로챌 수 있다.