Установка OWASP Mutillidae II и Damn Vulnerable Web Application (DVWA) в Kali Linux

Буквально вчера вышла новая версия OWASP Mutillidae II 2.6.43. И среди изменений наконец-то добавлена долгожданна поддержка PHP 7.0. Damn Vulnerable Web Application (DVWA) также в своей версии на Гитхабе доведён до работы с PHP 7.0. В связи с этим появилась идея написать небольшие скрипты для их установки в Kali Linux

Если коротко, OWASP Mutillidae II и Damn Vulnerable Web Application (DVWA) – это уязвимые веб-приложения, которые специально предназначены для тренировки в поиске и эксплуатации различных уязвимостей (т.е. в тестировании на проникновение), на них можно тренироваться по взлому сайтов или тестировать инструменты для сканирования сайтов. Более подробную информацию о Mutillidae и DVWA вы найдёте по ссылкам выше.

Установка OWASP Mutillidae II в Kali Linux

Создайте файл upd_mutillidae.sh и скопируйте в него:

#!/bin/bash  

sudo apt-get update
sudo apt-get install php7.0-xml php7.0-fpm libapache2-mod-php php-mysql php-xml php-gd php-imap php-mysql php-gettext php-curl -y
sudo a2enmod proxy_fcgi setenvif
sudo systemctl restart apache2
sudo a2enconf php7.0-fpm
sudo systemctl reload apache2
sudo service php7.0-fpm restart
sudo systemctl restart mysql

cd /tmp
temp="$(curl -sL -A 'Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36' https://sourceforge.net/projects/mutillidae/files/mutillidae-project/)"
if [ $? -ne '0' ]; then
    exit 1
fi
  
wget -O "mutillidae.zip" `echo "${temp}" | grep -o -E 'https://[A-Za-z0-9./-]{7,}[.]zip/download' | head -n 1`
unzip mutillidae.zip

if [ -d "/var/www/html/mutillidae.backup" ]; then
	sudo rm -rf /var/www/html/mutillidae.backup
fi

if [ -d "/var/www/html/mutillidae" ]; then
	sudo mv /var/www/html/mutillidae /var/www/html/mutillidae.backup
fi

sudo mkdir /var/www/html/mutillidae
sudo mv mutillidae*/* /var/www/html/mutillidae/
 
sudo chown -R www-data:www-data /var/www/html/mutillidae/
 
sudo rm -rf mutillidae*
 
cd

Запустите файл:

sudo bash upd_mutillidae.sh

После завершения установки OWASP Mutillidae II будет доступен по ссылке http://localhost/mutillidae/. При первом запуске вы увидите примерно следующее:

Нажмите «setup/reset the DB» и дождитесь создания базы данных. Затем во всплывающем окне просто нажмите ОК:

Теперь вы полностью готовы для обучения взлому веб-сайтов:

Этот же самый скрипт можно использовать для последующих обновлений, когда выйдут новые версии уязвимых веб-приложений.

В скрипте прописан запуск служб, но поскольку в Kali Linux по умолчанию службы веб-сервера и СУБД не добавлены в автозагрузку, то при перезапуске системы перед тем, как попасть в Mutillidae, вам нужно запустить службы:

sudo systemctl start php7.0-fpm.service
sudo systemctl start apache2.service
sudo systemctl start mysql

Установка Damn Vulnerable Web Application (DVWA) в Kali Linux

Сохраните следующий скрипт в файл upd_dvwa.sh:

#!/bin/bash

sudo apt-get update
sudo apt-get install php php-mysql php-gd -y

sudo sed -i 's/allow_url_include = Off/allow_url_include = On/' /etc/php/7.0/apache2/php.ini

sudo systemctl restart apache2
sudo systemctl restart mysql

cd /tmp

git clone https://github.com/ethicalhack3r/DVWA.git

if [ -d "/var/www/html/dvwa.backup" ]; then
    sudo rm -rf /var/www/html/dvwa.backup
fi

if [ -d "/var/www/html/dvwa" ]; then
    sudo mv /var/www/html/dvwa /var/www/html/dvwa.backup
fi

sudo mkdir /var/www/html/dvwa
sudo mv DVWA*/* /var/www/html/dvwa/

sudo chown -R www-data:www-data /var/www/html/dvwa/

sudo rm -rf DVWA*

sudo mv /var/www/html/dvwa/config/config.inc.php.dist /var/www/html/dvwa/config/config.inc.php
sudo sed -i 's/p@ssw0rd//' /var/www/html/dvwa/config/config.inc.php

cd

Запустите файл следующим образом:

sudo bash upd_dvwa.sh

Перейдите на страницу Setup / Reset DB в DVWA и выполните сброс / пересоздание базы данных.

Теперь установленные DVWA доступны по адресу http://localhost/dvwa/

Этот же самый скрипт можно использовать для обновления DVWA по мере выхода новых версий.

После перезагрузки системы перед работой с уязвимыми приложениями не забывайте запускать Apache и MySQL.

Также если вы поменяли пароль для MySQL (по умолчанию пароль не используется), то установите его в соответствующих файлах:

  • /var/www/html/mutillidae/classes/MySQLHandler.php (для Mutillidae)
  • /var/www/html/dvwa/config/config.inc.php (для DVWA)

Рекомендуемые статьи:

9 комментариев на Установка OWASP Mutillidae II и Damn Vulnerable Web Application (DVWA) в Kali Linux

  1. LeGIon:

    Простите за глупый вопрос а как создать файл

    • Alexey Alexey:

      Правая кнопка мыши, далее Создать документ, далее Пустой документ.

      Или Меню, далее Usual applications, далее Leafpad

      Или в командной строке

      gedit имя_файла

      Например:

      gedit upd_mutillidae.sh
      
  2. LeGIon:

    Ещё вопрос при заходе на страницу dvwa запрашивает логин и пароль

  3. LeGIon:

    Тоесть я создаю базу данных перехожу по адресу http://localhost/dvwa/

    и меня просят вести логин пароль что мне делать (очень извеняюсь за глупые вопросы)

     

  4. Андрей:

    Добрый день, скрипты выложенные в данной теме как написаны? Посредством отличного знания команд линукса или какой-то язык программирования?

    • Alexey Alexey:

      Это команды Bash (командной оболочки) собранные в скрипт (пакетный файл). Bash это и Unix-оболочка и скриптовый язык программирования. Сами скрипты большей степенью состоят из команд ОС.

  5. Алексей:

    Я тоже задам не маловажный, но может не совсем умный вопрос. У меня вместо OWASP Mutillidae - OWASP MAntra, я его скачал есть файл исполнительный в конце названия написано install, я его запускаю, всё работает, но когда закрываю. он не находиться в консоли всех приложений и как из терминала его запускать тоже не знаю команд, приходиться через этот установочный файл его открывать. Как его присоседить ко всем приложениям?

  6. Алексей:

    sudo bash upd_mutillidae.sh
    bash: upd_mutillidae.sh: Нет такого файла или каталога
    Хотя у меня Мантра, но так потренироваться.Не открывается файл

Добавить комментарий

Ваш e-mail не будет опубликован.