DVWA

파일 다운로드

DVWA https://www.apachefriends.org
http://www.dvwa.co.uk/

파일 다운로드 : xampp-list-x64-5.5.38-3-installer.run

chmod +x xampp-list-x64-5.5.38-3-installer.run

./xampp-list-x64-5.5.38-3-installer.run

Setup-XAMPP 설치매니저가 나타난다.

systemctl stop mysql
systemctl stop apache2

xampp에서 2개 데몬 start 설정하여 녹색불 들어오는 것 확인할 것!!

웹브라우저에서 localhost/dvwa로 접속

DVWA 홈페이지가 보인다.

---

/opt/lampp/lampp restart

localhost/dashboard

phpMyAdmin -> Database 탭 클릭 -> dvwa 데이터베이스 파일 생성

파일 다운로드 --> https://github.com/ethicalhack3r/DVWA/releases

DVWA-1.9.zip 파일을 다운로드한다.

다운로드한 DVWA-1.9.zip을 /opt/lamp/htdocs/ 폴더에 복사한다.

mv DVWA-1.9 dvwa 폴더 이름 변경

웹브라우저에서 localhost/dvwa 로 접속한다.

---

localhost/dvwa 로 접속화면에서 빨간색 글자를 수동으로 클리어시켜준다.

vi /opt/lampp/etc/php.ini

898라인의 allow_url_include=On 확인(만약, Off으로 수정해준다)
수정후 저장하고 반드시 시스템을 재부팅 시켜주어야 한다. (일단 대기)

두번째 설정 : reCAPTCHA key : Missing

이 에러를 해결하기 위해서는 구글에서 캡챠 인증을 받아야 한다.
https://www.google.com/recaptcha/admin
로그인
라벨 : dvwa
새 사이트 등록 --> reCAPTCHA v2 체크 -> 로봇이 아닙니다. 체크
도메인 : localhost 소유자 : 본인 이메일
reCAPTCHA 약관에 동의
소유자에게 알림 발송 체크
맨아래쪽에 제출 버튼 클릭
그러면 인증키가 보인다.

사이트 키 복사 (Public_key):
비밀 키 복사 (Private_key):

vi /opt/lampp/htdocs/dvwa/config/config.inc.php

26, 27라인
Public_key = '여기에 사이트 키 복사'
Private_key = '여기에 비밀 키 복사'

18 라인
$_DVWA[ 'db_password' ] = '설정된 암호를 지워준다' <<-- 암호없음 확인

저장.

chmod 777 /opt/lampp/htdocs/dvwa/hackable/uploads
chmod 777 /opt/lampp/htdocs/dvwa/external/phpids/0.6/lib/IDS/tmp/phpids_log.txt

웹브라우저 dvwa 사이트 새로고침후 빨간색이 없어진것을 확인.

맨 아래에 있는 create database 클릭

잠시후 약 3초후에 로그인창이 나타난다.

ID : admin, PW : password

로그인 성공!!

---

DVWA security --> LOW level

Brute Force ATTACK 클릭

admin / aaaa, admin / bbbb --> 로그인 불가

칼리프로그램 -> BurpSuite

동의후 설치진행 (기본값으로)

[Proxy] - [Intercept] - [Intercept is on] 기능이 켜져 있으면 비활성화 해준다.

   --> [Intercept is off] 인 것을 확인!!