Установка и настройка площадок для тестирования веб-уязвимостей

  Введение:

     Последнее время у многих возникли вопросы о том, с чего начать знакомство для тестирования веб-приложений (поиска и эксплуатации уязвимостей). И меня начали часто спрашивать: "С чего начать?", "Как попробовать?", "Где взять?", "Как установить?". Я решил не рассказывать одно и то же каждому по отдельности, а написать краткое руководство по установке и настройке площадок (boot2root образов), которые направлены для тестирования приложений на наличие веб-уязвимостей.
     Существует огромное количество площадок, которые можно найти здесь: vulnhub.com , но сегодня я хочу рассказать о самых популярных и самых актуальных по уязвимостям, которые там представлены (ссылки прилагаются). Будет краткое описание самой площадки, где можно скачать, и ее установка.
     Наш сегодняшний список площадок прошу любить и жаловать:

• PentesterLab 
• Buggy web application (bWAPP) 
• Damn Vulnerable Web Application (DVWA)
• Metasploitable 2
• NOWASP (Mutillidae)
• OWASP WebGoat
• Samurai Web Testing Framework (ожидается)
• OWASP Bricks (ожидается)
• OWASP Security Shepherd (ожидается)
• OWASP Broken Web Applications Project(BWA) (ожидается)
• OWASP Hackademic Challenges Project (ожидается)
• Owasp Hacme Bank (ожидается)
• The ButterFly - Security Project (ожидается)
• LAMPSecurity Training (ожидается)

     Каждую из площадок буду рассматривать отдельно и в будущем постараюсь написать FAQ (write up) для каждой из них. Но сейчас перейдем непосредственно к установке и настройке. Всю процедуру будем проходить на Windows 7 с установленным VMware Workstation Player Скачать. Пожалуй начнем :)

  PentesterLab:

     PentesterLab ( pentesterlab.com ) - это проект, специализирующийся на тестировании веб-приложений. Они выпускают площадки (boot2root образы) как под отдельные уязвимости, так и целый набор. Я рассмотрю две площадки, подходящие для новичков Web for Pentester Скачать и Web for Pentester II Скачать. Для каждой из площадок прилагается краткое описание уязвимостей с примерами их эксплуатации FAQ.
     Инструкция по установке и настройке PentesterLab I-II:

1. Скачиваем образ с официального сайта или по ссылкам Web for Pentester и Web for Pentester II;
2. Открываем VMware Player и жмем Create a New Virtual Machine  (или Player - File - New Virtual Machine);
   
   
   
    
3. Выбрать Install from: Installer disc image file(iso) и указать путь к нашему сохраненному образу Web for Pentester или Web for Pentester II.
   
   
   
   
   
4. Следующие два пункта можно пропустить и сразу нажимать Next  и перейти к финальным настройкам;
   
   
   
   
   
5. В настройках должны быть установлены такие параметры, как: Memory: 512MB для Web for Pentester и Memory: 1024MB для Web for Pentester II; Network Adapter установлен в режим NAT;
6. На этом площадка полностью настроена и готова к работе, осталось ее запустить.
7. После полной загрузки нам остаётся узнать IP-адрес, по которому она доступна (прописать ifconfig);
   
   
   
   
   
8. Остается перейти по нему в браузере.
   
   
   
   

   
   

     На этом настройка PentesterLab I-II заканчивается и можно приступить к работе. Площадка установлена, и в дальнейшем для запуска нужно всего лишь выбрать ее из меню VMware Player.

  Buggy web application (bWAPP) :

     bWAPP ( itsecgames.com ) - это открытый проект тестирования веб-приложений, доступный всем желающим для скачивания. Предназначается для поиска и эксплуатации уязвимостей в веб-приложениях и не только.Представляет из себя Linux сервер с предустановленным bWAPPом. Скачать можно отсюда bWAPP. Перейдем непосредственно к делу...
     Инструкция по установке и настройке bWAPP:

1. Скачиваем образ с официального сайта или по ссылке bWAPP (Архив ~1.2GB);
2. Разархивировать в любую удобное место ~4.65GB;
3. Открываем VMware Player и жмем  Player - File - Open и выбираем файл bee-box_v1.6\bee-box\bee-box;
   
   
   
   
   
4. VMware Player автоматически создал виртуальную машину, осталось подправить настройки.Для этого выбираем пункт Edit Virtual Machine settings;
   
   
   
   
   
5. В настройках должны быть установлены такие параметры, как:  Memory 1024MB и Network Adapter установлен в режим NAT;
   
   
   
   
   
6. На этом площадка полностью настроена и готова к работе, осталось ее запустить;
7. После полной загрузки нам остаётся узнать IP-адрес, по которому она доступна (прописать ifconfig);
   
   
   
   
   
8. Остается перейти по нему в браузере.
   
   
   
   
   

     На этом настройка bWAPP заканчивается и можно приступить к работе. Площадка установлена, и в дальнейшем для запуска нужно всего лишь выбрать ее из меню VMware Player.

  Damn Vulnerable Web Application (DVWA):

     DVWA ( dvwa.co.uk ) - это проект, целью которого является быть помощником специалистам информационной безопасности. Дает возможность проверить свои навыки, новые инструменты, помочь веб-разработчикам лучше понять принципы и процессы обеспечения безопасности веб-приложений. Скачать можно отсюда DVWA.
     Инструкция по установке и настройке DVWA:

1. Скачиваем образ по ссылке DVWA (Образ ~470MB);
2. Открываем VMware Player и жмем Create a New Virtual Machine  (или Player - File - New Virtual Machine); 
3. Выбрать Install from: Installer disc image file(iso) и указать путь к нашему сохраненному образу DVWA;
4. Следующие два пункта можно пропустить и сразу нажимать Next  и перейти к финальным настройкам;
5. В настройках должны быть установлены такие параметры как:  Memory 512 или 1024MB и Network Adapter установлен в режим NAT;
   
   
   
   
   
6. На этом площадка полностью настроена и готова к работе, осталось ее запустить;
7. После полной загрузки нам остаётся узнать IP-адрес, по которому она доступна (прописать ifconfig);
   
   
   
   
   
8. Остается перейти по нему в браузере. При входе ввести username:admin, password:password;
   
   
   
   
   
9. Можно приступать к работе.
   
   
   
   
   
   
   

     Площадка установлена и в дальнейшем доступна с основной системы, для запуска нужно всего лишь выбрать ее из меню VMware Player.

  Metasploitable 2 + NOWASP (Mutillidae):

     Metasploitable 2 ( rapid7.com ) - это виртуальная машина, специально спроектированная на максимальное количество уязвимостей. Для тренировки, тестов эксплоитов и обучения новичков. В отличие от других уязвимых виртуальных машин, Metasploitable фокусируется на уязвимостях в операционной системе Linux и сетевых сервисах, а не на отдельных приложениях, нечто вроде боксёрской груши для работы «пентестеров» и использования программ вроде Metasploit и Nmap. В ней открыты все порты и присутствуют все известные уязвимости, некоторые из которых вы можете встретить в реальной жизни на настоящих системах.
     Metasploitable 2 - тяжелая артиллерия в обучении, в ней вы сможете найти все уязвимости которые известны на текущий момент. Скачать можно здесь Metasploitable 2.Также существует Metasploitable 2 Exploitability Guide который можно найти по ссылке.
     NOWASP (Mutillidae) -  является еще одной площадкой с открытым исходным кодом уязвимых веб-приложений. Можно установить на любой веб-сервер и доступен для скачивания по ссылке Mutillidae, он входит в виртуальную машину Metasploitable 2 и устанавливается вместе с ней. Доступен по 80 порту ( ip-address:80/mutillidae/ ).
     Инструкция по установке и настройке Metasploitable 2:

1. Скачиваем архив по ссылке Metasploitable 2 (Архив ~873MB); 
2. Разархивировать в любую удобное место ~1.81GB;
3. Открываем VMware Player и жмем  Player - File - Open и выбираем файл Metasploitable2-Linux\metasploitable;
   
   
   
   
   
4. Проверить, что сетевой адаптер установлен в режим NAT;
   
   
   
   
   
5. Запустить виртуальную машину и подождать ее загрузки, в всплывающем окне выбрать "I copied it"
   
   
   
   
   
6. При входе ввести login:msfadmin, password:msfadmin;
   
   
   
   
   

     Площадка установлена и в дальнейшем доступна с основной системы, для запуска нужно всего лишь выбрать ее из меню VMware Player.

  Samurai Web Testing Framework:

     Samurai Web Testing Framework ( samurai-wtf.org ) - это Linux среда, которая была настроена специально для тестирования веб-приложений. Образ содержит лучшие бесплатные инструменты, которые созданы для тестирования и атаки на сайты. Площадка была разработана для понимания принципов атаки и защиты веб-приложений. Последняя версия доступна для скачивания здесь.

  OWASP WebGoat:

     OWASP WebGoat ( owasp.org ) - К сожалению, доступность веб-приложения отовсюду, имеет и свой минус, приходится уделять дополнительное внимание безопасности решения. А это не простой вопрос. Ведь в формировании результирующего контента участвует несколько элементов – веб-сервер или сервер-приложений, обработчик (HTML, PHP, Python, Perl, Ruby, JavaScript, + AJAX и т.п.), база данных. Проект WebGoat решил выпустить площадку, в которой все эти технологии объединены и доступны для изучения любому желающему. OWASP WebGoat - кроссплатформенный инструмент, его можно запустить в любой ОС, в которой будут работать Apache Tomcat и Java SDK. Для доступа к лекциям используется веб-браузер, интерфейс только английский и, очевидно, другого пока не предвидется.
     Специалисты безопасности и разработчики должны смотреть на сеть глазами потенциального взломщика, понимать суть атак и видеть проблемные места. Вот для такой ситуации разработчиками OWASP (Open Web Application Security Project) создана специальная обучающая система WebGoat, позволяющая в наглядном виде изучать приемы взлома веб-приложений. Реализована база для проведения около 30 различных видов атак. Последняя версия проекта OWASP WebGoat.
     Инструкция по установке и настройке OWASP WebGoat:

1. Скачиваем java приложение по ссылке WebGoat(на текущий момент WebGoat-6.0.1-war-exec.jar ~55MB); 
2. Скачать и установить java https://www.java.com/ru/download/;
3. Открыть консоль cmd и запустить java -jar WebGoat-6.0.1-war-exec.jar;
   
   
   
   
4. Настраиваем брандмауэр для нашего приложения;
   
   
   
   
   
5. На этом установка закончена и площадка доступна по адресу http://127.0.0.1:8080/WebGoat/;