웹 해킹의 기초 - 테스트 환경 설정하기

※ 본 포스팅은 '웹 해킹 입문 - 조쉬 파울리 / BJPUBLIC'의 내용을 참고하였습니다.

웹 해킹 실습을 위해 가상머신 위에 '칼리 리눅스(Kali Linux)'를 설치했다.

칼리 리눅스는 데비안(Debian) 기반의 리눅스로 보안을 지향하는 고급 운영체제로 널리 받아들여지고 있다.

개발이 중단된 '백트랙(BackTrack)'의 최신버전으로 생각하면 될 것 같다.

칼리 리눅스는 수백 가지의 전문적인 해킹 도구를 갖고 있어 사전조사, 디지털 포렌식, 퍼징, 오류 탐색 등 수많은 해킹 기술을 시연하는 것이 가능하다.

칼리 리눅스는 다음의 주소에서 다운로드할 수 있다.

Kali Linux - https://www.kali.org/downloads/

목표로 공격할 웹 애플리케이션은 'DVWA(Damn Vulnerable Web Application)'이다.

DVWA는 애초에 취약하게 설계된 PHP/MySQL 웹 애플리케이션이며, 보안 전문가들이 기술과 도구를 안전하고 합법적인 환경에서 시험할 목적으로 만들어졌다.

자세한 내용은 해당 웹사이트에서 확인할 수 있다.

DVWA - http://dvwa.co.uk/index.php

DVWA는 본질적으로 VM 형태로 이용할 수 없기 때문에 VM에 DVWA를 설치하고 설정해야 한다.

칼리 리눅스에 DVWA를 설치하고 http://localhost/ 또는 127.0.0.1로 접근할 것이다.

결국, 목표로 삼은 웹 애플리케이션(DVWA)과 해킹 툴 모두 같은 VM 안에 설치하게 되는 셈이다.

여기서는 The Unl33t 팀에서 만든 설치 스크립트를 이용해 DVWA를 설치하겠다.

http://theunl33t.blogspot.kr/search?q=dvwa 를 방문하면 #/bin/bash 로 시작해 DVWA Install finished!\n 으로 끝나는 스크립트를 확인할 수 있다.

이를 복사해 root 디렉토리에 DVWA_install.sh 로 파일을 저장한다.

해당 사이트의 스크립트는 예전 백트랙용이므로 칼리 리눅스용으로 수정을 해야 한다.

다음의 스크립트를 다운받아 사용하면 된다.

DVWA_install.sh 스크립트 파일 :

DVWA_install.sh

(스크립트가 제대로 실행이 되지 않는다.

스크립트 문장 자체에는 문제가 전혀 없는데, 이상하게 밀리면서 실행이 안된다.ㅠㅠ

계속 살펴보니 윈도우에서 파일을 작성해서인지 캐리지리턴이 들어가 있는 것 같다. (추측)

예전에 캐리지리턴은 vi에서 ^M으로 표시되었던 것 같은데... 이거 뭐 보이지도 않고...

실행되지 않는 이유를 몰라 그냥 스크립트를 한줄 한줄 입력했다... 이것때문에 삽질한 내 시간...ㅠㅠ

그냥 스크립트 없이 수동으로 설치하는 편이 나을 뻔 했다.

혹시 이유를 아시는 분이 있다면 알려주시면 감사ㅠㅠ)

스크립트 실행을 하면 설치와 세팅이 알아서 된다.

그리고 마지막 문장에 의해 다음과 같은 화면을 확인할 수 있다.

미리 설정해두었던 Username: admin / Password: password 로 로그인하면, DVWA 관리 페이지가 나온다.

먼저, 연습용으로 사용할 데이터베이스를 만들기 위해 'Setup' 메뉴에서 'Create / Reset Database'를 클릭한다.

이 후, 'DVWA Security' 메뉴에서 보안 레벨을 'low'로 설정하고 Submit을 눌러 완료한다.

이로써 VM에서 DVWA 웹 애플리케이션을 공격할 해킹 툴을 사용할 준비가 끝났다.