• Kategori: Güvenlik
  • Eyüp ÇELİK
  • Gösterim: 7440

DVWA - Web Hacking Labs. - 1 Labaratuar Kurulumu

Bu yazı dizisi uzun uzadıya anlatacağım, derinlemesine dalış yapacağımız bir yazı dizisi olacak. Yazı dizisi boyunca kendi labaratuvarımızı kurup, bu labaratuvarda bulunan web uygulamasına saldıracağız. Böylelikle yazı dizisi tamamlandığında SQL Injection, XSS (Stored, Reflected), File Inclusion, Command Execution, CSRF ve Brute Force saldırılarını enine boyune kurcalayacak ve pratikte bu saldırıları gerçekleştireceğiz.

Hemen ardından bir üst segment olan yazılım güvenliği ve güvenli kod geliştirme taraflarına eğilerek, bu tarz saldırıların kaynak kod seviyesinde engellenmesi kısımlarına değineceğiz.

Bu giriş makalemizde DVWA (Damn Vulnerable Web Application) Web Hacking Labaratuvar’ının kurulumunu ve konfigürasyonunu konu alacağım. Makale serisini konu başlıklarından ve konu numaralarından takip edebilirsiniz. (Arada başka konular üzerine de makale yazacağımdan dolayı karışmasın)

İhtiyaç Listemiz aşağıdaki gibi olacaktır.

  1. VMware Workstation, Hyper-V yada Virtual Box (Ben VMware’e göre anlatacağım.)
  2. Ubuntu 14.04 Desktop Editon (Centos vb kullanılabilir, ben Ubuntu üzerinden anlatacağım)
    1. 32Bit - http://releases.ubuntu.com/14.04/ubuntu-14.04.1-desktop-i386.iso
    2. 64Bit - http://releases.ubuntu.com/14.04/ubuntu-14.04.1-desktop-amd64.iso
  3. LAMP Server (Apache2, MySql, PHP5, phpMyAdmin)
  4. DVWA
    1. https://github.com/RandomStorm/DVWA/archive/v1.0.8.zip

İhtiyaç listemizdekileri indirdikten sonra sırası ile kurulum ve konfigürasyonlara başlayabiliriz.

Adım 1: VMware Üzerine Ubuntu Kurulumu

VMware Workstation’ın File menüsünden “New Virtual Machine” veya CTRL + N tuş kombinasyonu ile yeni bir sanal makina oluşturmayı seçelim.

DVWA Web Hacking Labs Kurulumu 01

Resim-01

New Virtual Machine seçeneği Resim-01’deki gibi gelecektir. “Custom (advanced)”I seçip Next ile ilerleyelim.

DVWA Web Hacking Labs Kurulumu 02

Resim-02

VMware uyumluluk versiyonu olarak en son versiyonu (Workstation 10.0) seçip Next diyelim. Bu uyumluluk versiyonu, kurmuş olduğunuz VMware Workstation sürümüne göre değişiklik gösterebilir.

DVWA Web Hacking Labs Kurulumu 03

Resim-03

Guest Operating System Installation ekranında “Installer disc image file (iso)”yu seçip, Browse menüsünden indirmiş olduğumuz Ubuntu-14.04*.iso dosyasını seçelim ve Next’I tıklayalım.

DVWA Web Hacking Labs Kurulumu 04

Resim-04

Easy Install Information menüsünden Full Name kısmına Ubuntu Linux makinamızın adını, username ve password kısmına da kullanıcı adı ve şifremizi belirtip Next’I tıklyoruz.

DVWA Web Hacking Labs Kurulumu 05

Resim-05

Name the Virtual Machine kısmında, oluşturduğumuz sanal makinanın ismini ve sanal makinaya ait dosyaların kaydedileceği lokasyonu belirtiyoruz.

DVWA Web Hacking Labs Kurulumu 06

Resim-06

Processor Configuration ekranında, sanal makinamıza atayacağımız işlemci miktarını belirtip Next diyoruz.

DVWA Web Hacking Labs Kurulumu 07

Resim-07

Memory for the Virtual Machine kısmında, sanal makinamızın RAM miktarını ayarlıyoruz. Minimum 1024 MB RAM kullanmanızı tavsiye ederim.

DVWA Web Hacking Labs Kurulumu 08

Resim-08

Network Type kısmında sanal makinamızın Ağ Kartının tipini seçiyoruz.

  • Use bridged network (Bu seçenek ile sanal makinamızın gerçek ip aralığımızdan swtich veya modemden bir ip adresi almasını sağlar)
  • User network address translation (NAT) (Bu seçenek sanal makinamıza sanal bir ağ kartı ekleyerek o ağ kartının bilgisayarımızdaki fiziksel ağ kartı üzerinden sanal bir şekilde çalışmasını sağlar. Bu seçenek ile fiziksel network cihazlarımıza, (switch, modem vb.) erişemeyiz.)
  • Use host-only networking (Bu seçenek fiziksel ağ kartımızın bulunduğu network üzerinde özel bir ağ gibi çalışmasını sağlar)
  • Do not use a network connection (Bu seçenek ile herhangi bir ağ kartı kullanmayacağımızı, ağ kartımızı daha sonra ekleyeceğimiz anlamına gelir)

Use network address translation (NAT) seçeneğini işaretleyip, Next’I tıklıyoruz.

DVWA Web Hacking Labs Kurulumu 09

Resim-09

Select I/O Controller Types ekranında LSI Logic (Recommended)’I seçip, Next’I tıklıyoruz.

DVWA Web Hacking Labs Kurulumu 10

Resim-10

Select a Disk Type ekranında SCSI (Recommended)’I seçip SCSI tipte bir harddisk kullanacağımızı belirtiyoruz.

DVWA Web Hacking Labs Kurulumu 11

Resim-11

Select a Disk ekranı harddisk konfigürasyonu yapacağımız ekrandır.

  • Create a new virtual disk (Sanal bilgisayarımız için yeni bir disk oluşturacağımız seçenektir, biz bu yeni disk oluşturma seçeneğini seçeceğiz)
  • Use an exitsting virtual disk (Bu seçenek daha önceden oluşturulmuş, varolan bir sanal disk seçeceğimizi belirtir)
  • Use a physical disk (for advanced user) (Bu seçenek fiziksel diskimizi kullanacağımızı belirtir)
  • Resim 12

Resim-12

Specify Disk Capacity ekranında, oluşturduğumuz snaal harddiskin boyunu belirtiyoruz. Ben 40 GB’lık bir boyut belirttim. Siz minimum 10+ GB belirtebilirsiniz. Store virtual disk as a single file seçeneğini seçip Next diyoruz.

  • Allocate all disk space now (Bu seçenek oluşturduğumuz sanal disk alanının tamamının fiziksel disk alanından allocate edilmesini sağlar)
  • Strore virtual disk as a single file (Bu seçenek ile oluşturduğumuz sanal harddisk tek bir dosya olarak (*.vmdk) belirlediğimiz lokasyona kaydedilir. Dip not: FAT32 kullanan bir dosya sisteminiz varsa alttaki seçeneği seçiniz. Bunun amacı eğer ilerde dosyalarınızı taşımak isterseniz ve dosyayı taşığınız disk FAT32 ile formatlanmış ise, 2 GB’dan büyük dosyaları kopyalayamzsınız.)
  • Split virtual disk into multiple files (Bu seçenek ile oluşturduğumuz diskin parçalar haline ayrılarak 2 GB’dan küçük onlarca parçaya ayrılmasını sağlar. Böylelikle FAT32 formatlı bir diske kopyalama işlemi gerçekleştirilirken sorun yaşanmaz)
  • Resim 13

Resim-13

Specify Disk File ekranında, oluşturmuş olduğumuz sanal diski kaydedeceğimiz lokasyonu seçip Next ile devam ediyoruz.

DVWA Web Hacking Labs Kurulumu 14

Resim-14

Ready to Create Virtual Machine ekranında artık sona geliyoruz. Finish’I tıklayıp sanal bilgisayarımızı oluşturuyoruz.

DVWA Web Hacking Labs Kurulumu 15

Resim-15

DVWA Web Hacking Labs Kurulumu 16

Resim-16

DVWA Web Hacking Labs Kurulumu 17

Resim-17

Kurulum işlemleri otomatik olarak başlayacak ve Resim-15, Resim-16 ve Resim-17’deki ekranları göreceksiniz. Resim-17 ekranı gelinceye kadar bekleyin. Daha sonra şifresinizi girerek Ubuntu da oturumunuzu açın.

Adım 2: LAMP Server Kurulumu

DVWA Web Hacking Labs Kurulumu 18

Resim-18

Bir konsol (terminal) penceresi açıp, “sudo su” komutunu girin. Bu komutu girdikten sonra sizden şifre isteyecektir. Oturum açma sırasında kullandığınız şifreyi yazıp enter ile devam edin. Sudo su komutu, yönetici ayrıcalıkları ile komut çalıştırmanızı sağlayacaktır.

DVWA Web Hacking Labs Kurulumu 19

Resim-19

apt-get install mysql-server mysql-client” komutu ile önce MySQL server’ımızı kuralım. Bu kurulumlar esnasında “Do you want to continue? [Y/n]” sorusuna “Y” yazıp enterlayın.

DVWA Web Hacking Labs Kurulumu 20

Resim-20

MySQL kurulumu esnasında Resim-20’deki ekran gelecektir. Bu ekrana Mysql root şifremizi belirtmemiz gerekiyor. Mysql için bir root şifresi girip Enter ile devam edin ve sizden tekrar şifre isteyecektir. Aynı şifreyi bird aha girip enter ile devam edin. Bu işlemden sorna Mysql şifrenizi sakın unutmayın :))

DVWA Web Hacking Labs Kurulumu 21

Resim-21

“apt-get install apache2” komutu ile Apache Server’ımızı kuralım.

DVWA Web Hacking Labs Kurulumu 22

Resim-22

Apache kurulumu tamamlandıktan sonra “apt-get install php5 libapache2-mod-php5” komutu ile PHP5’in kurulumunu başlatalım.

DVWA Web Hacking Labs Kurulumu 23

Resim-23

PHP kurulumu da tamamlandıktan sonra, “service apache2 start” komutu ile apache sunucumuzu başlatalım.

DVWA Web Hacking Labs Kurulumu 24

Resim-24

“nano /var/www/html/info.php” komutu ile /var/www/html dizininde “info.php” adında bir dosya oluşturacağız.

DVWA Web Hacking Labs Kurulumu 25

Resim-25

Bu komutu girdikten sonra nano editörü açılacak ve içerisine aşağıdaki kodları yazalım. Hemen ardından CTRL + O tuşlarına basıp entera basıyoruz. Daha sonra CTRL + X tuşlarına basıp nano editörünü kapatıyoruz.

“<?php phpinfo(); ?>”

DVWA Web Hacking Labs Kurulumu 26

Resim-26

Bu işlemler tamamlandıktan sonra Firefox’tan “localhost/info.php” adresine erişip, Resim-26’daki ekranı görelim.

DVWA Web Hacking Labs Kurulumu 27

Resim-27

Ardından konsol (terminal) ekranımıza geri dönüp aşağıdaki kodu yazarak, PHP modüllerini de yüklüyoruz.

“apt-get install php5-mysql php5-curl php5-gd php5-intl php-pear php5-imagick php5-imap php5-mcrypt php5-memcache php5-ming php5-ps php5-pspell php5-recode php5-snmp php5-sqlite php5-tidy php5-xmlrpc php5-xsl”

DVWA Web Hacking Labs Kurulumu 28

Resim-28

Modüllerimiz yüklendikten sonra “service apache2 restart” komutu ile apache’yi yeniden başlatıyoruz.

DVWA Web Hacking Labs Kurulumu 29

Resim-29

Daha sonra “apt-get install phpmyadmin” komutu ile phpMyAdmin’I yüklüyoruz.

DVWA Web Hacking Labs Kurulumu 30

Resim-30

phpMyAdmin kurulumu esnasında Resim-30’daki ekran ile karşılacağız. Bu ekranda apache2’yi seçip enter ile devam ediyoruz.

DVWA Web Hacking Labs Kurulumu 31

Resim-31

Bir sonraki aşamada gelen ekranda “No” yu seçip enter ile devam ediyoruz.

DVWA Web Hacking Labs Kurulumu 32

Resim-32

Bu kurulum işlemi de tamamlandıktan sonra “localhost/phpmyadmin” adresine gidip, phpmyadmin’in çalışıp çalışmadığını control ediyoruz.

Adım 3: DVWA – Web Hacking Labs Kurulumu

Daha önceden indirmiş olduğunuz DVWA-1.0.8.zip dosyasını, bulunduğu dizine zipten çıkarın.

DVWA Web Hacking Labs Kurulumu 33

Resim-33

Dizine çıkardığımız DVWA-1.0.8 klasörünün adını DVWA olarak değiştirelim. Ardından bir konsol ekranı açıp, “sudo su” komutunu verelim. Bu komutun ardından oturum şifremizi girip enter ile ilerleyelim.

DVWA Web Hacking Labs Kurulumu 34

Resim-34

“cd /var” komutunu yazıp enter diyelim. “chmod -R 777 www/” komutu ile www dizinine dosya okuma, yazma ve çalıştırma izni verelim. Hemen ardından DVWA klasörünü “/var/www/html/” dizinine kopyalayalım.

DVWA Web Hacking Labs Kurulumu 35

Resim-35

Bu işlemlerden sonra “/var/www/html/DVWA/config/” dizininde bulunan “config.php” dosyasını gedit veya benzeri bir editor ile açalım.

  • $_DVWA[ 'db_server' ] = 'localhost'; (Mysql’I kurduğumuz sunucu adresimiz. Değişikliğe gerek yok)
  • $_DVWA[ 'db_database' ] = 'dvwa'; (DVWA’nın kullanacağı veritabanı adı)
  • $_DVWA[ 'db_user' ] = 'root'; (Mysql kullanıcı adımız, değiştirmeye gerek yok)
  • $_DVWA[ 'db_password' ] = 'Password1'; (Password1 yerine Mysql kurulumunda oluşturduğunuz şifreyi yazın)

Bu değişiklikleri yaptıktan sonra CTRL + S kombinasyonu ile değişikliği kaydedip, editörü kapatın. Ardından browserı açıp, “http://localhost/DVWA” yazın.

DVWA Web Hacking Labs Kurulumu 36

Resim-36

http://localhost/DVWA dizinine eriştiğinizde Resim-36’daki ekran ile karşılaşacaksınız. Click here’ yazan yere tıklayalım.

DVWA Web Hacking Labs Kurulumu 37

Resim-37

DVWA “setup.php” ye yönlenecek ve Resim-37’deki ekran ile karşılaşacağız. “Create / Reset Database” e tıklayalım. DVWA veritabanına bağlanıp tablo yapısını ve kendi veritabanı içeriğini oluşturacaktır.

DVWA Web Hacking Labs Kurulumu 38

Resim-38

Bu işlem tamamlandığında Resim-38’deki gibi veritabanının kurulduğuna dair yazı göreceksiniz. Bu yazıyı gördükten sonra menu den “Home” tıklayın.

DVWA Web Hacking Labs Kurulumu 39

Resim-39

“Home” menüsünü tıkladıktan sonra DVWA, login sayfasına yönlenecektir. Kullanıcı adı olarak “admin” şifre olarak da “password” yazıp login olalım.

DVWA Web Hacking Labs Kurulumu 40

Resim-40

Bu ekranı gördükten sonra DVWA Web Hacking Labs ortamımız başarılı bir şekilde kurulmuş demektir.

Bu kurulum işleminin ardından;

  • Brute Force
  • Command Execution
  • CSRF
  • Insecure CAPTCHA
  • File Inclusion
  • SQL Injection
  • Upload
  • XSS

Saldırılarını derinlemesine makale dizisi olarak anlatıyor olacağım. Bir sonraki makalede görüşmek üzere, güvenli günler.

Dip Not: Sorularınızı lütfen makalenin altında bulunan yorum kısmından sorunuz. Sosyal ağlardan vb. yerlerden gelen sorulara cevap verilmeyecektir. Sadece yorum kısmında gelen sorular değerlendirilip cevaplandırılacaktır.

Comments

+6 Yusuf Karaca 07-01-2015 19:43 #1
PHP'ye yeni başlayanlar için güzel bir kaynağa benziyor. En azından hatasız ve açıksız kod yazmayı öğrenirler :-) Başarılar.
Quote
+2 volkan 07-01-2015 22:19 #2
merhaba eyup bey kali linux ta da çalışmalarınız olsa cok guzel olurdu...pentest konusunda makalelerınızı beklıyoruz
Quote
+3 Eyüp ÇELİK 07-01-2015 22:57 #3
Selamlar Volkan Bey,

Kali Linux, pentest konularında makaleler hazırlamaktayım. Yakın zamanda blog'da yayınlanacaktır.
Quote
-1 volkan 07-01-2015 23:28 #4
merakla bekliyorum Eyüp bey...İsmail beyle kitap projeniz sanırım ertelendi. .olsaydı çok güzel olurdu....Türkçe kaynak sıkıntısı ne yazık ki çok. Bu konuda
Quote
-1 Eyüp ÇELİK 07-01-2015 23:53 #5
Malesef ki bazı problemlerden dolayı kitap projemizi iptal etmek zorunda kaldık. Ancak bu sene blog'dan bir çok şeyi paylaşıyor olacağım.
Quote
+2 Erkan 08-01-2015 03:13 #6
Hayranlıkla takip ediyoruz hocam.
Quote
0 Abdullah 08-01-2015 16:25 #7
Diger makaleyi ne zaman yayınlıyacaksınız.
Quote
-1 volkan 08-01-2015 22:09 #8
özellkle kali linux üzerinde pentest videolarınızı beklıyorum..iyi çalışmalar
Quote
+2 ahmed 09-01-2015 02:10 #9
kardeş mesela ben xxx.com hacklicem bu yöntemle rahatlıkla olur mu diyorsun yani ?
Quote
+2 Umut 11-01-2015 00:49 #10
Eyüp abi senin seviyene gelebilmek için nerden eğitim almamız gerekir.(BilgeAdam veya neresi ceh eğitimi veriyor?)
Kolay gelsin.
Quote
+2 hasan olgay 20-01-2015 18:21 #11
Eyup, resim 32 deki sayfaya ulasamiyorum. Nededir sence.
Quote
0 Emre 27-01-2015 23:29 #12
hocam paylaşım için teşekkürler, devamını bekliyorum.
Quote
0 Ensar Keser 28-01-2015 09:55 #13
Hasan bey

Resim 32 deki sayfaya server tipini yani resim 30 daki gibi birakirsaniz karsiniza gelmeyecektir. Ama space ile Appache2 yi tam anlamiyla secerseniz sorunsuz karsiniza gelicektir.

kolay gelsin.
Quote
0 Caner 03-02-2015 20:51 #14
Ubuntu Alıntılandı hasan olgay:
Eyup, resim 32 deki sayfaya ulasamiyorum. Nededir sence.


http://askubuntu.com/questions/387062/how-to-solve-the-phpmyadmin-not-found-issue-after-upgrading-php-and-apache

Bu linkte anlatildigi gibi ufak bir duzenleme yapmak gerekiyor.
Quote
+1 murat 23-08-2016 13:11 #15
hocam merhaba sizi merakla takip ediyoruz.Hocam videoda bekliyoruz.
Quote

Yorum ekle


Güvenlik kodu Yenile

Bookmaker betfair Bonus review by ArtBetting.co.uk

Bookmaker bet365 review by ArtBetting.co.uk

Germany bookmaker b.artbetting.de review by ArtBetting.de

Bookmaker Greece BET365 review by ArtBetting.gr

Back to top