Cara Menginstal dan Mengkonfigurasi Lab DVWA di server Ubuntu 18.04

oleh

Halo, hari ini kita akan belajar cara menginstal dan mengkonfigurasi lab DVWA di server Ubuntu 18.04.

DVWA telah didefinisikan sebagai aplikasi web berbasis PHP/MySQL yang sangat rentan yang tujuan utamanya adalah membantu profesional keamanan untuk menguji keterampilan dan alat mereka dalam lingkungan hukum, membantu pengembang web lebih memahami proses mengamankan aplikasi web dan membantu guru atau siswa untuk mengajar atau mempelajari keamanan aplikasi web masing-masing di lingkungan ruang kelas.

Instal dan Konfigurasi Lab DVWA di Ubuntu 18.04

Menginstal DVWA di Ubuntu 18.04

Untuk mengatur DVWA di server Ubuntu 18.04, ikuti prosedur berikut.

Perbarui dan tingkatkan semua paket di server Anda.

apt update apt upgrade

Setelah upgrade selesai, kita akan menginstal komponen dasar LAMP stack yaitu Apache, MySQL, dan PHP. Oleh karena itu Anda dapat memeriksa artikel kami sebelumnya tentang cara menginstal LAMP Stack di Ubuntu 18.04.

Setelah Anda memiliki LAMP Stack, lanjutkan sebagai berikut.

Ketika diminta untuk mengatur password MySQL, Anda dapat mengaturnya ke password default yang digunakan oleh DVWA, [email protected]. Jika Anda menetapkan password yang berbeda, simpanlah karena kami akan membutuhkannya nanti.

Download DVWA

DVWA tersedia baik sebagai paket yang akan berjalan di server web Anda sendiri atau sebagai Live CD. Dalam panduan ini, kita akan menggunakan paket DVWA.

Kita akan menginstal DVWA pada direktori root web Apache, /var/www/html. Oleh karena itu Anda harus menghapus index.html file default.

rm -r /var/www/html/index.html

Setelah selesai, klon versi terbaru DVWA ke beberapa direktori, katakan /tmp dengan menjalankan perintah di bawah ini;

git clone https://github.com/ethicalhack3r/DVWA /tmp/DVWA

File kode sumber DVWA yang diperlukan sekarang tersedia di bawah /tmp/DVWA. Anda perlu memindahkan atau menyalin file-file ini ke direktori root web default Apache seperti yang ditunjukkan di bawah ini.

rsync -avP /tmp/DVWA/ /var/www/html/

Anda sekarang dapat memverifikasi bahwa semua file kode sumber DVWA berada di bawah direktori root Apache Web.

ls /var/www/html/ about.php config docs external hackable index.php login.php phpinfo.php README.md security.php vulnerabilities CHANGELOG.md COPYING.txt dvwa favicon.ico ids_log.php instructions.php logout.php php.ini robots.txt setup.php

Konfigurasikan DVWA di Ubuntu 18.04

Setel detail koneksi Database

Selanjutnya, kita akan mengonfigurasi detail koneksi database DVWA. Anda akan melihat bahwa file konfigurasi DVWA bernama /var/www/html/config/config.inc.php.dist. Oleh karena itu, ganti nama file konfigurasi ini menjadi/var/www/html/config/config.inc.php

cp /var/www/html/config/config.inc.php.dist /var/www/html/config/config.inc.php

Jika Anda telah menetapkan password MySQL yang berbeda, edit file konfigurasi, /var/www/html/config/config.inc.phpdan temukan barisnya, dan ganti dengan password baru Anda. Misalnya, jika Anda mengatur password root Anda ke $_DVWA[ ‘db_password’ ] = ‘[email protected]’; ‘[email protected]'[email protected], konfigurasi Anda akan terlihat seperti di bawah ini;

vim /var/www/html/config/config.inc.php
... # If you are using MariaDB then you cannot use root, you must use create a dedicated DVWA user. # See README.md for more information on this. $_DVWA = array(); $_DVWA[ 'db_server' ] = '127.0.0.1'; $_DVWA[ 'db_database' ] = 'dvwa'; $_DVWA[ 'db_user' ] = 'root'; $_DVWA[ 'db_password' ] = '[email protected]';...

Catatan, jika Anda menggunakan MariaDB daripada MySQL, Anda tidak dapat menggunakan user root database dan oleh karena itu Anda harus membuat database baru dan user database menggunakan perintah di bawah ini;

mysql> create database dvwa; mysql> grant all on dvwa.* to [email protected] identified by '[email protected]'; mysql> flush privileges; mysql> quit

Setelah Anda selesai membuat user database dvwa, edit konfigurasi DVWA dan sesuaikan pengaturan konfigurasi database sehingga konfigurasi Anda terlihat seperti;

... $_DVWA[ 'db_server' ] = '127.0.0.1'; $_DVWA[ 'db_database' ] = 'dvwa'; $_DVWA[ 'db_user' ] = 'dvwa'; $_DVWA[ 'db_password' ] = '[email protected]';...

Simpan file konfigurasi dan restart MySQL.

systemctl restart mysql

Konfigurasi PHP

Versi PHP yang diinstal dalam kasus kami di sini adalah 7.2.

php -v PHP 7.2.10-0ubuntu0.18.04.1 (cli) (built: Sep 13 2018 13:45:02) ( NTS )

Sekarang edit file, /etc/php/7.2/apache2/php.inidan buat perubahan berikut.

  • allow_url_include = on – Memungkinkan Penyertaan File Jarak Jauh (RFI)
  • allow_url_fopen = on – Memungkinkan Penyertaan File Jarak Jauh (RFI)
  • safe_mode = off – (Jika PHP <= v5.4) Memungkinkan Injeksi SQL (SQLi)
  • magic_quotes_gpc = off – (Jika PHP <= v5.4) Memungkinkan Injeksi SQL (SQLi)
  • display_errors = off – (Opsional) Menyembunyikan pesan peringatan PHP agar tidak terlalu bertele-tele

Izin File

Buat folder dan file berikut dapat ditulis oleh service web untuk File Uploads dan PHPIDS masing-masing.

/var/www/html/hackable/uploads/ /var/www/html/external/phpids/0.6/lib/IDS/tmp/phpids_log.txt

Singkatnya, Anda dapat mengubah kepemilikan direktori root web Apache seperti yang ditunjukkan di bawah ini;

chown -R www-data.www-data /var/www/html/

Sekarang cari alamat IP server Anda dan navigasikan ke browser web dan ketik alamat IP server web Anda pada bilah alamat untuk mengakses DVWA Anda. Lihat tangkapan layar di bawah ini.

Jika Anda menggunakan MariaDB, maka Anda akan langsung mendapatkan halaman login.

Jika halaman web tidak dimuat, dan mengikuti log error Apache, # tail /var/log/apache2/error.log, Anda mendapatkan error berikut;

[Tue Oct 30 23:27:28.149822 2018] [php7:error] [pid 16560] [client 192.168.43.149:40556] PHP Fatal error: Uncaught Error: Call to undefined function mysqli_connect() in /var/www/html/dvwa/includes/dvwaPage.inc.php:470nStack trace:n#0 /var/www/html/login.php(8): dvwaDatabaseConnect()n#1 {main}n thrown in /var/www/html/dvwa/includes/dvwaPage.inc.php on line 470

Ini berarti Anda kehilangan paket mysqli PHP. Instal paket seperti yang ditunjukkan di bawah ini dan restart Apache;

apt install php-mysqli -y systemctl restart apache2

Seperti yang ditunjukkan pada dashboard di atas, ada beberapa masalah yang statusnya ditandai dengan warna merah dan oleh karena itu kami perlu memperbaikinya sebagai berikut;

  • PHP module gd: Missing

    • Perbaiki ini dengan menginstal modul php-gd;
    • # apt install php-gd -y
  • reCAPTCHA key: Missing
    • Perbaiki ini dengan menghasilkan nilai tangkap kembali dari service Google.
    • Setelah Anda membuat, edit /var/www/html/config/config.inc.phpdan atur nilainya untuk;
      • $_DVWA[ ‘recaptcha_public_key’ ] = ‘PASTE YOUR PUBLIC KEY HERE’; &
      • $_DVWA[ ‘recaptcha_private_key’ ] = ‘PASTE YOUR SECRET KEY HERE’;

Setelah Anda selesai dengan konfigurasi, re
start Apache dan MySQL

systemctl restart apache2 systemctl restart mysql

Kembali ke browser web Anda dan reload halaman dan semuanya akan baik-baik saja sekarang.

Buat Database untuk DVWA

Sekarang, Anda harus membuat database DVWA untuk memastikan keberhasilan latihan Anda. Klik tombolCreate/Reset Databasedi bagian bawah halaman web Anda. Anda mungkin mengalami error berikut;

Error di atas disebabkan oleh detail koneksi database yang salah. Anda dapat memverifikasi hal yang sama seperti yang ditunjukkan di bawah ini;

mysql -u root -p[email protected] -D dvwa -h 127.0.0.1 mysql: [Warning] Using a password on the command line interface can be insecure. ERROR 1698 (28000): Access denied for user 'root'@'localhost'

Oleh karena itu, login ke mysql Anda, konfigurasikan ulang sebagai berikut;

mysql -u root -p

Jatuhkan user root;

drop user [email protected];

Buat ulang user root;

create user [email protected] identified by '[email protected]'

Anda dapat memilih untuk menggunakan password DVWA default, [email protected].

Jalankan perintah di bawah ini untuk mereload tabel hibah database dan keluar dari koneksi DB.

flush privileges; quit;

Mulai ulang service MySQL

systemctl restart mysql

Sebelum Anda dapat menavigasi kembali ke UI web, verifikasi bahwa Anda sekarang dapat terhubung ke DVWA DB dengan kredensial login yang disetel;

mysql -u root -p[email protected] -D dvwa -h 127.0.0.1

Jika semuanya baik-baik saja, maka harus dapat melihat bahwa database telah dibuat di UI Web.

Jika semuanya baik-baik saja, Anda akan diarahkan ke halaman login.

Anda sekarang dapat masuk ke server DVWA Anda menggunakan kredensial; adminsandi user : password.

Ini dia.

Untuk membungkus, kita telah berhasil mempelajari Instal dan Konfigurasi Lab DVWA di server Ubuntu 18.04. Anda sekarang dapat berburu kerentanan. Kami berharap artikel ini membantu. Selamat berburu kerentanan!

Panduan Terkait Lainnya

Cara Menginstal Acutenix di Ubuntu 18.04

Instal Pemindai Profesional Nessus di Debian 10

Instal Pemindai Profesional Nessus di Debian 10