DVWA Installation

DVWA steht für "Damn Vulnerable Web Application" und ist eine Open-Source-Webanwendung, die speziell für Schulungszwecke im Bereich IT-Sicherheit und Penetrationstests entwickelt wurde.

Justin Haas
DVWA Installation

Inhalt

DVWA Installation

DVWA steht für “Damn Vulnerable Web Application” und ist eine Open-Source-Webanwendung, die speziell für Schulungszwecke im Bereich IT-Sicherheit und Penetrationstests entwickelt wurde. Die Anwendung enthält zahlreiche Schwachstellen und Sicherheitslücken, die dazu dienen, Benutzern das Verständnis für die Risiken von Angriffen und die notwendigen Maßnahmen zur Absicherung von Webanwendungen zu vermitteln. DVWA ist eine sehr nützliche Ressource für IT-Experten und Studenten, die sich mit Cyber-Sicherheit und Penetrationstests beschäftigen.

DVWA Dashboard

Voraussetzungen

Bevor wir mit der Installation beginnen, ein Disclaimer:

DVWA ist eine Webanwendung mit vielen kritischen Schwachstellen, die zu Systemübernahmen führen können. Deshalb empfehlen wir, DVWA in einer gesonderten VM zu installieren und so zu isolieren, dass nur der Host der VM darauf zugreifen kann.

Haftungsausschluss:

Wir übernehmen keine Verantwortung für die Art und Weise, wie jemand diese Anwendung (DVWA) verwendet. Wir haben die Zwecke der Anwendung klar definiert und sie sollte nicht bösartig genutzt werden. Wir haben Warnungen gegeben und Maßnahmen ergriffen, um zu verhindern, dass Benutzer DVWA auf Live-Webservern installieren. Wenn dein Webserver über eine Installation von DVWA kompromittiert wird, liegt die Verantwortung nicht bei uns, sondern bei der Person/den Personen, die es hochgeladen und installiert haben.

Im Folgenden verwenden wir VMware und ein Kali-Linux System als Host der Webanwendung. Diese Anleitung funktioniert auch mit VirtualBox.

Installation

Notwendige Services installieren

Bevor wir richtig mit der Installation starten, installieren wir die benötigten Tools und Services:

sudo apt update

sudo apt upgrade

sudo add-apt-repository 'http://ftp.de.debian.org/debian sid main'

sudo apt update

sudo apt install apache2 default-mysql-server php5 php5-mysql php5-gd iceweasel

DVWA Download und Einstellung

Nachdem wir die benötigten Services installiert haben, navigieren wir in das Webverzeichnis, wo unsere DVWA-Webanwendung liegen soll:

cd /var/www/html

Danach klonen wir uns das DVWA-Git-Repository und benennen das Verzeichnis um:

sudo git clone https://github.com/digininja/DVWA

mv DVWA dvwa

Anschließend konfigurieren wir DVWA, indem wir die Rechte des Verzeichnisses setzen und uns die Konfiguration, die in dem DVWA-Ordner liegt, kopieren:

sudo chmod -R 777 dvwa/

cd dvwa/config

sudo cp config.inc.php.dist config.inc.php

Dann konfigurieren wir noch unsere Datenbankzugangsdaten in der config.inc.php-Datei und geben dort als db_user und db_password jeweils “dvwa” an oder eben die Zugangsdaten, die ihr wollt:

sudo nano config.inc.php

MySQL Datenbank konfigurieren

Bevor wir mit der Datenbank interagieren können, müssen wir diese zunächst starten und überprüfen, ob MySQL läuft, mit systemctl:

sudo service mysql start

systemctl status mysql

Um uns mit der Datenbank zu verbinden, nutzen wir folgenden Befehl:

sudo mysql -u root -p

Mit den folgenden Befehlen erstellen wir einen Nutzer für unsere DVWA-Datenbank mit denselben Zugangsdaten, die wir zuvor in der DVWA-Konfigurationsdatei eingetragen haben. In unserem Fall wäre das Benutzername ‘dvwa’ und Passwort ‘dvwa’. Danach geben wir diesem Nutzer noch Rechte für die DVWA-Datenbank.

CREATE USER 'user'@'127.0.0.1' IDENTIFIED BY 'pass';

GRANT ALL PRIVILEGES ON dvwa.* TO 'user'@'127.0.0.1' IDENTIFIED BY 'pass';

PHP installieren

Bei Kali sollte PHP bereits installiert sein, ansonsten installieren wir es auf unserem Host mit mindestens Version 7.4:

sudo apt install php

Sobald PHP installiert ist, ändern wir noch ein paar Einstellungen in der php.ini-Datei, die ihr wie folgt findet:

cd /etc/php/eure_version/apache2

sudo nano php.ini

In der php.ini-Datei suchen wir nun nach allow_url_fopen und allow_url_include und setzen beides auf On, um gewisse Schwachstellen wie RFI exploiten zu können.

Nachdem wir die php.ini-Datei gespeichert haben, können wir den Server starten und testen:

sudo service apache2 start

systemctl status apache2

Danach können wir auf http://127.0.0.1/dvwa/setup.php gehen und ganz unten auf Create/Reset database klicken. Schon sind wir fertig und können DVWA benutzen, um unsere OWASP Top 10 Fähigkeiten zu verbessern.

Der Standard-Benutzername und das Standard-Passwort für den Login lauten: admin:password

Was sind SQL injections?
Older post

Was sind SQL injections?
Newer post

Cross-Site Scripting (XSS)

Cross-Site Scripting (XSS)

You may also like

Cross-Site Scripting (XSS)
Justin Haas

Cross-Site Scripting (XSS)