Как установить SamuraiWTF 4.0
SamuraiWTF — это операционная система Linux с установленными уязвимыми веб-приложениями для тренировки хакеров по взлому веб-сайтов.
Предыдущая версия SamuraiWTF распространялась как виртуальная машина, которую можно было бы экспортировать, например, в VirtualBox. Но авторы SamuraiWTF решили изменить концепцию своего продукта. Вместо монолитной виртуальной машины, им больше по душе система собираемая из модулей. В практическом смысле это означает, что теперь основная информация на официальной странице (кстати, это здесь https://github.com/SamuraiWTF/samuraiwtf), посвящена установке SamuraiWTF с помощью Vagrant.
Я покажу «классический» способ установки SamuraiWTF с помощью простого импорта в VirtualBox. Также я расскажу о начальной инициализации, особенностях работы и дам пару советов. В самом конце в качестве бонуса будет показана установка с помощью Vagrant — может быть, это кому-то пригодится (и даже понравится).
Итак, переходим на ГитХаб страницу SamuraiWTF и ищем ссылку на скачивание: https://tiny.si/samurai
Скачается файл SamuraiWTF.ova — или с похожим названием и расширением .ova — это экспортированная виртуальная машина VirtualBox. То есть эта машина содержит настройки и виртуальный жёсткий диск с установленной системой. Достаточно дважды кликнуть по файлу и он должен открыться в VirtualBox. Если этого не произошло, то в VirtualBox перейдите в меню Файл → Импорт конфигураций. При любом из этих способов появится окно:
В нём можно ничего не менять, но при желании вы можете:
- увеличить количество ядер процессора
- увеличить количество оперативной памяти
- изменить расположение жёсткого виртуального диска
Если вы хотите изменить другие настройки — USB, сетевые соединения и так далее, то это можно сделать уже после импорта — в настройках виртуальной машины.
Нажмите Импорт и дождитесь завершения процесса:
Запустите виртуальную машину.
Вместо привычного графического менеджера дисплеев, нам нужно будет при загрузке авторизоваться в консольном интерфейсе:
Для входа логин: samurai, пароль: samurai
У виртуальной машины нет привычных меню и иконок быстрого запуска и доступа.
Меню вызывается правкой кнопкой мыши по рабочему столу:
Перед использованием некоторых приложений их необходимо инициализировать. Откройте через контекстное меню на рабочем столе Chrome. Теперь нам нужно импортировать закладки — для доступа к уязвимым сайтам. Для этого нажмите на иконку с тремя вертикальными точками:
Выберите Bookmarks. В подменю выберите Import bookmarks and settings:
В открывшемся окне переключитесь на Bookmarks HTML File:
Нажмите Choose File, перейдите в домашнюю директорию и откройте файл bookmarks.html:
Теперь ярлыки на уязвимые среды будет в избранных закладках браузера:
Есть пара адресов, которые отсутствуют в закладках:
Зайдите на страницы для инициализации/сброса баз данных:
- http://dojo-basic.wtf/reset-db.php
- http://mutillidae.wtf/set-up-database.php
- http://dvwa.wtf/setup.php
После этого можно начинать играться: http://dvwa.wtf/vulnerabilities/sqli/?id=-1%27+or+1=%271&Submit=Submit#
Если захотите сделать обновление ОС, то выполните:
sudo apt update && sudo apt -y full-upgrade
Поскольку в системе нет меню и кнопок для отключения, то для завершения работы SamuraiWTF используйте команду:
sudo shutdown -h now
Как установить SamuraiWTF с помощью Vagrant
Начните с установки и знакомства с Vagrant в статье «Как установить и использовать Vagrant в Linux и Windows».
У SamuraiWTF есть особенности по установке — после загрузки «коробки», должны выполнить свою работу скрипты. Поэтому необходимо загрузить все файлы из репозитория.
Установка SamuraiWTF в Vagrant в Linux:
git clone https://github.com/SamuraiWTF/samuraiwtf cd samuraiwtf vagrant up
Процесс может занять время — просто дождитесь завершения. Сразу после первого запуска, рекомендуется перезапустить систему используя команду
vagrant reload
Если при установке вы использовали vagrant up, то будет создана виртуальная машина в которой будут присутствовать пользовательское окружение и цели.
Если использовать одну из следующих команд:
vagrant up userenv vagrant up target
то будут созданы раздельно виртуальные машины с пользовательским окружением и целями.
Во время работы гостевой машины вместе с её окном будет открыт интерфейс командной строки, пока продолжается работа над ней. Лучше всего не трогайте его, пока команда vagrant up полностью не завершится.
Установка SamuraiWTF в Vagrant в Windows:
Скачайте архив и распакуйте его.
В командной строке с помощью команды cd перейдите в папку с SamuraiWTF.
Выполните там команду:
vagrant up
Связанные статьи:
- Тренировка по взлому веб-сайтов в Windows (99.2%)
- Установка OWASP Mutillidae II и Damn Vulnerable Web Application (DVWA) в Kali Linux (98.5%)
- Как пользоваться Kali Linux в WSL (подсистеме Windows для Linux): подборка лучших программ (ч. 1) (54.2%)
- OpenSSL: принципы работы, создание сертификатов, аудит (52.4%)
- Азы работы с веб-сервером для пентестера (50.9%)
- Как обфусцировать JavaScript код (RANDOM - 35.4%)
но на логине на входе я сел
система пишет SamuraiWTF login:
пишу samurai и пасс такой же …. пишет неверный логин… блин(( обидно….
Странно — я такой же образ устанавливал, то есть система должна быть идентичной. Проверьте не зажат ли CAPS LOCK, внимательней попробуйте набрать. Как крайний вариант, можно сбросить пароль по статье «Как в Linux сбросить забытый пароль входа».
Там говорится использовать команду
так как сбрасывается пароль для рута. А в SamuraiWTF сбрасывается пароль для пользователя samurai, тогда команда должна быть: