Instalar DVWA en KALI Linux 2021

Instalar DVWA en KALI Linux 2021.2, para verificar la seguridad de tus aplicaciones. Rompiendo se aprende y la práctica hace al maestro, pero tenemos una duda, ¿dónde podemos practicar nuestras habilidades de hacking ético?. La respuesta es sencilla, en DVWA (Damn Vulnerable Web Application). Hablamos de una aplicación web vulnerable desarrollada en PHP/MySQL, cuyo principal objetivo es permitir a los profesionales de la seguridad evaluar sus conocimientos, en un entorno completamente legal. Estas prácticas ayudan a los desarrolladores web a comprender mejor el proceso de segurización de sus aplicaciones. También resulta extremadamente útil para estudiantes, profesores y aficionados, en el proceso de aprendizaje en temas de seguridad sobre aplicaciones web. Cualquier usuario que quiera empezar con la piratería ética, debe realizar sus pruebas, pero no olvides que cualquier experimento con intentos de penetración en sistemas ajenos sin permiso, es ilegal y puede acarrearte graves problemas, incluyendo cuantiosas multas o hasta prisión. Mejor no te la juegues y por ello, en el artículo de hoy vemos como instalar esta aplicación como base de pruebas, en tu instalación de KALI Linux en español.

DVWA - Instalar DVWA en KALI Linux 2021  

Instalar DVWA en KALI Linux 2021

KALI Linux ya viene con su servidor local instalado, accedemos directamente a la carpeta html. cd /var/www/html Ahora descargamos DVWA. sudo git clone https://github.com/ethicalhack3r/DVWA Ejemplo. ┌──(kali㉿kali)- └─$ cd /var/www/html ┌──(kali㉿kali)- └─$ sudo git clone https://github.com/ethicalhack3r/DVWA password for kali: Clonando en 'DVWA'... remote: Enumerating objects: 3398, done. remote: Counting objects: 100% (49/49), done. remote: Compressing objects: 100% (32/32), done. remote: Total 3398 (delta 20), reused 35 (delta 16), pack-reused 3349 Recibiendo objetos: 100% (3398/3398), 1.65 MiB | 4.46 MiB/s, listo. Resolviendo deltas: 100% (1510/1510), listo. ┌──(kali㉿kali)- └─$ Sin salir de /var/www/html, listamos el contenido descargado. ls Vemos el contenido de /html.

Contenido de /var/www/html - Instalar DVWA en KALI Linux 2021   En la imagen anterior, puedes observar que se encuentran dos archivos y un directorio llamado DVWA. Le concedemos los permisos necesarios. sudo chmod -R 777 DVWA DVWA contiene una carpeta llamada config, accedemos a ella. cd DVWA/config En config nos encontramos con el archivo de configuración predeterminado, es mejor dejarlo como copia de seguridad y generar otro. sudo cp config.inc.php.dist config.inc.php Abrimos el archivo con el editor nano. sudo nano config.inc.php Si quieres puedes modificar el usuario y la contraseña, pero no te olvides de los datos porque los vas a necesitar después. Una vez editado el archivo (si es tu caso), lo guardas y cierras el editor. No cambies el nombre de la base de datos.

Configurar la base de datos - Instalar DVWA en KALI Linux 2021 Instalar DVWA en KALI Linux 2021.2   KALI ya viene con el motor de base de datos instalado, lo iniciamos. sudo systemctl start mysql Verificamos que todo es correcto. systemctl status mysql Ejemplo del status de la base de datos. ┌──(kali㉿kali)- └─$ sudo systemctl start mysql ┌──(kali㉿kali)- └─$ systemctl status mysql ● mariadb.service - MariaDB 10.5.11 database server Loaded: loaded (/lib/systemd/system/mariadb.service; disabled; vendor preset: disabled) Active: active (running) since Sun 2021-08-08 11:08:35 CEST; 21s ago Docs: man:mariadbd(8) https://mariadb.com/kb/en/library/systemd/ Process: 2885 ExecStartPre=/usr/bin/install -m 755 -o mysql -g root -d /var/run/mysqld (code=exited, status=0/SUCCESS) Process: 2886 ExecStartPre=/bin/sh -c systemctl unset-environment _WSREP_START_POSITION (code=exited, status=0/SUCCESS) Process: 2888 ExecStartPre=/bin/sh -c && VAR= || VAR=`cd /usr/bin/..; /usr/bin/galera_recove> Process: 2949 ExecStartPost=/bin/sh -c systemctl unset-environment _WSREP_START_POSITION (code=exited, status=0/SUCCESS) Process: 2951 ExecStartPost=/etc/mysql/debian-start (code=exited, status=0/SUCCESS) Main PID: 2935 (mariadbd) Status: "Taking your SQL requests now..." Tasks: 14 (limit: 2295) Memory: 111.2M CPU: 3.388s CGroup: /system.slice/mariadb.service └─2935 /usr/sbin/mariadbd Accedemos a la consola de MariaDB y creamos el usuario con su password. Recuerda que estos datos los proporcionamos anteriormente, en el archivo config.inc.php; en nuestro caso utilizamos los que venían por defecto, porque al ser un entorno de pruebas local, no existe ningún riesgo. Sigue los pasos que te indico a continuación. sudo mysql -u root -p create user 'userDVWA'@'127.0.0.1' identified by "dvwa"; grant all privileges on dvwa.* to 'userDVWA'@'127.0.0.1' identified by 'dvwa'; exit Ejemplo completo del proceso con respuestas incluidas. ┌──(kali㉿kali)- └─$ sudo mysql -u root -p Enter password: Welcome to the MariaDB monitor. Commands end with ; or g. Your MariaDB connection id is 44 Server version: 10.5.11-MariaDB-1 Debian 11 Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others. Type 'help;' or 'h' for help. Type 'c' to clear the current input statement. MariaDB > create user 'userDVWA'@'127.0.0.1' identified by "dvwa"; Query OK, 0 rows affected (0.008 sec) MariaDB > grant all privileges on dvwa.* to 'userDVWA'@'127.0.0.1' identified by 'dvwa'; Query OK, 0 rows affected (0.008 sec) MariaDB > exit Bye   Para instalar DVWA en KALI Linux 2021 correctamente, debemos hacer unas modificaciones en el archivo php.ini. La versión actual de php en KALI es la 7.4, si cambia la versión abres el archivo que corresponda. sudo nano /etc/php/7.4/apache2/php.ini Busca las líneas "allow_url_fopen" y "allow_url_include". Asegúrate que las dos están en "On". ;;;;;;;;;;;;;;;;;; ; Fopen wrappers ; ;;;;;;;;;;;;;;;;;; ; Whether to allow the treatment of URLs (like http:// or ftp://) as files. ; http://php.net/allow-url-fopen allow_url_fopen = On ; Whether to allow include/require to open URLs (like http:// or ftp://) as files. ; http://php.net/allow-url-include allow_url_include = Off Una vez tengas las dos en "On", guarda el archivo y cierra el editor.

Configurar el archivo php.ini - Instalar DVWA en KALI Linux 2021   Para dejar la herramienta lista para su uso, solo falta iniciar Apache. sudo systemctl start apache2 Verificamos que el servicio está corriendo. systemctl status apache2 Ejemplo. ┌──(kali㉿kali)- └─$ sudo systemctl start apache2 ┌──(kali㉿kali)- └─$ systemctl status apache2 ● apache2.service - The Apache HTTP Server Loaded: loaded (/lib/systemd/system/apache2.service; disabled; vendor preset: disabled) Active: active (running) since Sun 2021-08-08 11:23:34 CEST; 40s ago Docs: https://httpd.apache.org/docs/2.4/ Process: 3176 ExecStart=/usr/sbin/apachectl start (code=exited, status=0/SUCCESS) Main PID: 3187 (apache2) Tasks: 6 (limit: 2295) Memory: 18.5M CPU: 292ms CGroup: /system.slice/apache2.service ├─3187 /usr/sbin/apache2 -k start ├─3189 /usr/sbin/apache2 -k start ├─3190 /usr/sbin/apache2 -k start ├─3191 /usr/sbin/apache2 -k start ├─3192 /usr/sbin/apache2 -k start └─3193 /usr/sbin/apache2 -k start Instalar DVWA en KALI Linux 2021   Una vez hemos terminado de instalar DVWA en KALI Linux 2021, iniciamos la herramienta insertando esta URL en tu navegador web preferido. - http://127.0.0.1/DVWA/setup.php Verás una pantalla con diversos errores, no te preocupes es algo normal, ya que falta generar la base de datos. Lo único que nos falta es pulsar en "Crear database", para que se genere y nos redirija a la página de inicio de sesión.

Crear la base de datos en DVWA - Instalar DVWA en KALI Linux 2021   Puedes iniciar sesión con los datos de acceso predeterminados, que son... - Username: admin - Password: password

Iniciar sesión en DVWA   Canales de Telegram: Canal SoloLinux – Canal SoloWordpress Espero que este artículo te sea de utilidad, puedes ayudarnos a mantener el servidor con una donación (paypal), o también colaborar con el simple gesto de compartir nuestros artículos en tu sitio web, blog, foro o redes sociales. Instalar DVWA en KALI Linux 2021.2. Chat de SoloLinux en Telegram   Read the full article