Нельзя напрямую атаковать продуктивные сайты или веб-приложения, чтобы практиковать веб-взлом без соответствующих разрешений.
Поэтому для отработки навыков веб-взлома/проникновения в веб нам нужно что-то, где мы сможем отработать навыки веб-взлома, не причиняя вреда чьим-то веб-приложениям или сайтам, поэтому для этого мы можем установить bWAPP на Linux.
Что такое bWAPP?
bWAPP, т.е. Buggy Web Application – это намеренно небезопасное веб-приложение для отработки навыков веб-взлома, которое является бесплатным и с открытым исходным кодом. Оно имеет более 100+ веб-уязвимостей.
Итак, теперь давайте посмотрим, как установить bWAPP на Linux, чтобы начать заниматься веб-хакингом.
Ранее мы уже рассмотрели этот инструмент в обзоре:
👥 Обзор уязвимых веб-приложений для практики взлома и пентеста
Установка bWAPP на Linux
Сначала нам нужно загрузить bWAPP.
Для выполните команду, чтобы начать загрузку bWAPP с Sourceforge.
После загрузки измените рабочий каталог на тот, куда скачан наш bWAPP.
Теперь пришло время распаковать скачанный zip-файл bWAPP, а затем переместить его в папку apache web.
Но мы можем непосредственно разархивировать zip-файл bWAPP в папку apache web с помощью команды, приведенной ниже.
Если потребуется ввести пароль, введите пароль sudo.
Теперь, когда мы извлекли наш zip-файл в папку apache web, давайте изменим наш рабочий каталог на папку apache web с помощью приведенной ниже команды.
Убедитесь, что в этом каталоге есть папка с именем bWAPP.
Для этого перечислите все файлы и папки в этой директории с помощью команды ls.
Если папка недоступна, то вам нужно снова распаковать zip-файл в папку apache web.
Поскольку папка с именем bWAPP доступна, измените права этой папки с помощью приведенной ниже команды.
Теперь запустите службу apache с помощью приведенной ниже команды.
Запустите службу Mysql с помощью приведенной ниже команды.
Теперь нам нужно внести некоторые изменения в файл settings.php, поэтому откройте этот файл в любом текстовом редакторе, например, в текстовом редакторе nano.
Теперь пришло время подключиться к серверу MySQL, для этого введите следующую команду.
Нам необходимо создать пользователя на сервере MySQL для bWAPP, поэтому для создания пользователя с именем user и паролем pass введите команду, приведенную ниже.
Убедитесь, что вы используете те же имя пользователя и пароль, которые вы указали в файле settings.php в директории bWAPP/admin.
Теперь нам нужно дать нашему вновь созданному пользователю все привилегии на базе данных bWAPP.
Для этого введите следующую команду.
Поскольку запрос в порядке, как показано на изображении выше, теперь пришло время открыть веб-браузер и посетить localhost/bWAPP/install.php
Нажмите here для установки и если вы правильно выполнили вышеуказанные шаги, то bWAPP будет успешно установлен.
Теперь войдите в bWAPP, нажав на кнопку login, которая находится в строке меню, а затем введите bee как имя пользователя и bug как пароль.
И мы успешно вошли в наш bWAPP в linux на нашем localhost.
bWAPP имеет более 100 уязвимостей для вас, включая все уязвимости из проекта OWASP Top 10.
Так что просто выберите, что вы хотите взломать, а затем приступайте к взлому !!!!.
Повторное открытие bWAPP на Linux
Чтобы снова открыть bWAPP, сначала нужно запустить службу apache2 и mysql, а затем зайти на сайт http://localhost/bWAPP/
Заключение
Итак, вот таким образом мы можем легко установить bWAPP на Linux с помощью всего нескольких простых команд, но не забудьте запустить службу apache2 и MySQL перед использованием bWAPP, иначе система выдаст ошибку.
- Настройка Damn Vulnerable Web Application (DVWA) – Лаборатория пентеста часть 1
- Настройка Damn Vulnerable Web Application (DVWA) – Лаборатория пентеста часть 2
- Настройка Damn Vulnerable Web Application (DVWA) – Лаборатория пентеста часть 3
- 🌐 Установка OWASP Juice Shop на Kali Linux
- 🐳 Образы Docker для тестирования на проникновение и безопасности
- 👨🦳 Сканирование сайтов на наличие интересных каталогов и файлов с помощью Gobuster
- Первая помощь в взломе: эти сайты для обучения хакеру научат вас взламывать
- DVWA – Уязвимое веб-приложение
- 🌐 Обнаружение небезопасных зависимостей (SCA)
Спасибо, очень полезная информация, доступно и понятно
Всегда рады!
примеры с sql инъекциями не работают только, проверьте сами