Comment installer Damn Vulnerable Web Application sur CentOS 8

DVWA, également appelé « Damn Vulnerable Web App », est une application Web vulnérable gratuite et open-source. Elle est conçue pour que les professionnels de la sécurité puissent tester leurs compétences et comprendre les processus de sécurité des applications Web. Elle fournit une plateforme pour expérimenter de nouveaux outils de test de pénétration et pratiquer de nouvelles techniques d’exploitation pour exploiter des vulnérabilités courantes.

Dans ce billet, nous allons te montrer comment installer une Damn Vulnerable Web App sur le serveur CentOS 8.

Conditions préalables

  • Un serveur exécutant CentOS 8.
  • Un mot de passe root est configuré sur le serveur.

Installe Apache, MariaDB et PHP

DVWA est une application basée sur PHP et MySQL. Tu devras donc installer le serveur Web Apache, MariaDB, PHP et d’autres extensions nécessaires sur ton serveur. Tu peux tous les installer avec la commande suivante :

dnf install httpd mariadb-server php php-pdo php-mysqlnd php-cli php-gd git -y

Une fois que tous les paquets nécessaires sont installés, modifie le fichier php.ini avec la commande suivante :

nano /etc/php.ini

Change les lignes suivantes :

allow_url_fopen = On
allow_url_include = On
display_errors = Off

Sauvegarde et ferme le fichier Lorsque tu as terminé, démarre le service Apache et MariaDB, et active leur démarrage au redémarrage du système :

systemctl start httpd
systemctl enable httpd
systemctl start mariadb
systemctl enable mariadb

Une fois que tu as terminé, tu peux passer à l’étape suivante.

Configurer MariaDB

Ensuite, tu devras créer une base de données et un utilisateur pour DVWA. Tout d’abord, connecte-toi à MariaDB avec la commande suivante :

mysql

Une fois que tu es connecté, crée une base de données et un utilisateur avec la commande suivante :

MariaDB [(none)]> create database dvwa;
MariaDB [(none)]> grant all on dvwa.* to [email protected] identified by 'password';

Ensuite, vide les privilèges et sors de MariaDB avec la commande suivante :

MariaDB [(none)]> flush privileges;
MariaDB [(none)]> exit;

Une fois que tu as terminé, tu peux passer à l’étape suivante.

Télécharger DVWA

Tout d’abord, tu dois télécharger la dernière version de DVWA depuis le dépôt Git. Tu peux la télécharger avec la commande suivante :

git clone https://github.com/ethicalhack3r/DVWA /var/www/html/

Une fois le téléchargement terminé, change le répertoire en répertoire config et copie le fichier de configuration type :

cd /var/www/html/config/
cp config.inc.php.dist config.inc.php

Ensuite, modifie le fichier de configuration avec la commande suivante :

nano /var/www/html/config/config.inc.php

Définis les détails de ta base de données comme indiqué ci-dessous :

$_DVWA[ 'db_server' ]   = '127.0.0.1';
$_DVWA[ 'db_database' ] = 'dvwa';
$_DVWA[ 'db_user' ]     = 'dvwa';
$_DVWA[ 'db_password' ] = 'password'; 

# You'll need to generate your own keys at: https://www.google.com/recaptcha/admin

$_DVWA[ 'recaptcha_public_key' ]  = '6LewiQgbAAAAAEZlwAfH88bpdk1n06gn_Qc2Cyhb';
$_DVWA[ 'recaptcha_private_key' ] = '6LewiQgbAAAAAMVHAi4wFAIt9150QqbgcOkRBSZ7';

Enregistre et ferme le fichier lorsque tu as terminé.

Remarque : Tu peux générer les valeurs de récupération à partir du service Google.

Ensuite, définis la permission et la propriété appropriées au répertoire racine d’Apache avec la commande suivante :

chown -R apache:apache /var/www/html

Ensuite, redémarre le service Apache et MariaDB pour appliquer les modifications :

systemctl restart mariadb httpd

À ce stade, DVWA est installé et configuré. Tu peux maintenant passer à l’étape suivante.

Configurer SELinux et le pare-feu

Par défaut, SELinux est activé dans CentOS 8. Tu devras donc configurer SELinux pour accéder au DVWA.

Exécute la commande suivante pour configurer SELinux :

setsebool -P httpd_unified 1
setsebool -P httpd_can_network_connect 1
setsebool -P httpd_can_network_connect_db 1

Ensuite, tu devras aussi autoriser le port 80 à travers le firewall. Tu peux l’autoriser avec la commande suivante :

firewall-cmd --permanent --zone public --add-port 80/tcp

Ensuite, recharge le firewalld pour appliquer les modifications :

firewall-cmd --reload

À ce stade, SELinux et Firewalld sont configurés pour autoriser DVWA. Tu peux maintenant passer à l’étape suivante.

Accède à l’interface Web de DVWA

Maintenant, ouvre ton navigateur Web et accède à l’interface Web de DVWA en utilisant l’URL http://your-server-ip/setup.php. Tu seras redirigé vers la page suivante :

Configuration de la base de données

Paramètres PHP

Ensuite, clique sur le bouton Réinitialiser/Base de données pour configurer les paramètres de connexion à la base de données DVWA. Tu devrais voir la page suivante :

Connexion

Indique le nom d’utilisateur par défaut : admin, le mot de passe : password et clique sur le bouton Login. Tu devrais voir le tableau de bord DVWA sur la page suivante :

Tableau de bord de l'ACEP

Conclusion

Félicitations ! Tu as réussi à installer DVWA avec Apache sur CentOS 8. Tu peux maintenant utiliser de nouvelles techniques pour pirater des vulnérabilités courantes. N’hésite pas à me demander si tu as des questions.

Vous aimerez aussi...