[칼리 리눅스 2023] DVWA 설치 및 환경구성 , XAMPP 설치

DVWA란?

웹 해킹을 연구할 수 있도록 취약하게 설정되어 있는 오픈소스 웹 어플리케이션 서비스 환경

초급 Low 중급 Medium 고급 High 레벨로 분류되어 있는 데 레벨이 높아질수록 secrure 코딩이 강하게 적용되어 있다.

 

 

칼리 리눅스 2023년 버전은 이유를 알 수 없으나 PHP버전과 Mysql이 안맞아서 dvwa를 실행할 수 없었다.
여러번 시행착오 끝에 PHP는 XAMPP 구버전을 이용하고 mysql은 직접 설정하였다

 

XAMPP 설치

https://www.apachefriends.org/ 접속

7버전이상을 사용하면 안된다. 5버전을 다운받아야한다

5.6.23버전을 다운로드 후

# cd /home/kali/Downloads/
# chmod +x ./xampp-linux-x64-5.6.23-0-installer.run  => 실행권한을 부여한다
./xampp-linux-x64-5.6.23-0-installer.run 실행

넥스트를 눌러 다운로드한다.

※ 설정윈도우는 터미널에서 해당 명령어를 실행하여 다시 표시할 수 있다

# /opt/lampp/manager-linux-x64.run &

 

DVWA 환경구성 - DVWA 설정을 위한 편집

# gedit /opt/lampp/etc/php.ini
※gedit 편집기 설치하라는 문구 뜰시 y누르면됨
컨트롤+f : allow_url_include=On으로 바꾼다 => 파일 인클루젼 공격을할 때 필요한옵션

 

 

DVWA 설치

https://github.com/digininja/dvwa 접속 후 
download a Zip of the files 클릭 하여 다운로드

 

# cd /home/kali/Downloads
# unzip DVWA-master.zip

# mv DVWA-master /opt/lampp/htdocs/dvwa
# cd /opt/lampp/htdocs/dvwa/config

# cp config.inc.php.dist config.inc.php

※ xampp 8.2.4는 잘 못 설치한 것이니 무시해도 좋다

# gedit config.inc.php
db_user = 'dvwa'에서 'admin'으로 변경
db_password = 'p@ssw0rd'에서 'password'로 변경
=> 편리함을 위해 변경하였다.

 

# service mysql start
# mysql -u root -p

# create user admin@localhost identified by 'password';
(config.ini.php 파일에 입력되어 있는 패스워드와 동일하게 설정)

# grant all privileges on dvwa.* to admin@localhost;
(admin 계정에 dvwa 데이터베이스에 대한 권한 부여)

# flush privileges; 변경사항 적용

 

환경구성 완료

 

 

DVWA 접속 시 주의사항

가상머신으로 OS를 정지하지 않고 OS 자체를 종료하게 되면 재부팅하면서 열려 있던 서버와 DB가 닫히게 된다.
그러면 설치가 완료되어도 DVWA에 정상적으로 접근할 수 없다.
localhost에 접속했을 때 아파치 서버부터 안 뜬다면
/opt/lampp/manager-linux-x64.run & 명령어를 통해 xampp 실행 후 아파치를 실행한다. 
만약 DB에 접속할 수 없다면 -> service mysql start 입력

 

 

 

 

 

REFERENCE

https://www.inflearn.com/course/%ED%99%94%EC%9D%B4%ED%8A%B8%ED%95%B4%EC%BB%A4%EA%B0%80-%EB%90%98%EA%B8%B0%EC%9C%84%ED%95%9C-8%EA%B0%80%EC%A7%80/

[무료] 화이트해커가 되기 위한 8가지 웹 해킹 기술 - 인프런 | 강의

https://www.youtube.com/watch?v=jJbMkqUezpI