이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다.
사이트로 이동하여 DOWNLOAD를 눌러 파일을 받을수 있습니다.
그리고 윈도우 환경에서는 Apache/MySQL/PHP를 구성을 해줘야 합니다. APMSETUP라는 프로그램이 있었는데 현재는 사이트 자체가 없어진것 같습니다.
그래서 여기서는 오토셋이라는 프로그램을 이용하여 구축을 하도록 하겠습니다.
■ Auto Set 다운로드 : http://www.autoset.net/xe/download_autoset_9_0_0
여기서 다음버튼을 눌러 설치를 진행을 해주시면 됩니다.
오토셋을 설치를 하고나면 다음과 같은 모니터링 화면을 볼수 있으고, 웹서버와 MySQL을 모두 시작해 주신후 제어 -> 내 홈페이지 접속을 눌러 보시기 바랍니다.
이렇게 화면이 나오면 정상적으로 오토셋이 설치가 되신 겁니다. 주소는 http://127.0.0.1 입니다. 현재 보이는 웹페이지는 C:\AutoSet9\public_html\index.php 파일 입니다. 그 이유는 오토셋에 기본 홈 디렉터리로 설정이 되어 있기 때문입니다. 그럼 이제 DVWA를 적용을 해보도록 하겠습니다.
DVWA 사이트에서 받은 압축 파일을 풀어 주시고 그 안에 있는 파일을 C:\AutoSet9 이 경로에 옮겨 줍니다.
그리고 오토셋 모니터링 화면에서 설정 -> 웹 서버 기본설정을 눌러 주시면 위에 같은 화면이 보이시는데, 여기서 홈 디텍토리를 C:\AutoSet9\DVWA-master 이렇게 설정을 해줍니다. (조금전에 DVWA 압축해제후 옮겨놓았던 경로 입니다.) 그리고 변경 사항 저장을 눌러 주신후 제어 -> 웹서버 재시작을 눌러 줍니다.
웹서버 재시작후 제어 -> 내 홈페이지 접속
그럼 위와 같은 화면이 나오실겁니다. 에러메시지를 확인을 하면 C:\AutoSet9\DVWA-master\config 이경로에 config/config.inc.php.dist to config/config.inc.php 파일로 복사했냐는 에러메시지 입니다.
config.inc.php.dist -> config.inc.php 로 변경해줍니다 (.dist를 지워줍니다)
웹페이지 새로고침(F5)
여기서 [Create / Reset Database] 버튼을 클릭하면 에러 메시지가 나오는데 이는 데이터베이스 설정이 맞아 않아서 나오는 메시지 입니다.
C:\AutoSet9\DVWA-master\config 에 config.inc.php 파일을 여신후 설정 부분에서 'db_password' 를 오토셋 기본 패스워드인 'autoset' 으로 변경을 해줍니다.
그리고 [Create / Reset Database] 버튼을 눌러 주시면 http://127.0.0.1/login.php 페이지로 넘어 가게 됩니다.
그럼 위에 같은 에러메시지들이 나오는데 이것때문에 삽질을 한참했습니다. 직접 소스코드도 바꿔보로 php.info 값도 바꿔 보았지만 해결이 되지 않았습니다. 에러의 원인은 PHP 확장 모듈에 있었습니다.
그리고 새로고침을 해주면 다음과 같이 로그인페이지가 뜨는것을 확인할 수 있습니다. 이렇게 화면이 뜨신다면 DVWA 테스트 환경 구축은 끝이 났습니다.
'Code::Security > DVWA' 카테고리의 다른 글
| 취약한 웹 애플리케이션을 이용한 (DVWA) File Inclusion 취약점 진단 (1) | 2018.07.27 |
|---|---|
| 취약한 웹 애플리케이션을 이용한 (DVWA) CSRF 취약점 진단 (0) | 2018.07.26 |
| 취약한 웹 애플리케이션을 이용한 (DVWA) Command Execution 취약점 진단 (0) | 2018.07.24 |
| 취약한 웹 애플리케이션을 이용한 (DVWA) Brute Force 취약점 진단 (0) | 2018.07.23 |
| 취약한 웹 애플리케이션 DVWA 살펴보기 (0) | 2018.07.23 |