[목차]
1. XVWA 소개
2. XVWA 서버 구축 - 윈도우
3. XVWA 서버 구축 - 리눅스
1. XVWA 소개
Xtreme Vulerable Web Application의 약자로
주요 웹 취약점을 테스트하며 공부할 수 있는
모의해킹 학습용 테스트 환경이다.
다양한 종류의
Injection 공격들(SQL/Blind/OS Command/XPATH)과 File Upload Attack,
Cross Site Scripting Attack (XSS, Reflected/Stroed/Dom based), 그 밖에
CRSF, SSRF/XSPA, File Inclusion, Session Flaws, Insecure Direct Objec Reference,
Missing Functional Access Control, 그리고 Cryptography 공격 방법들을
테스트해보며 공부할 수 있다.
2. XVWA 서버 구축 - 윈도우
1. 오토셋 프로그램 다운 및 설치: http://www.autoset.net/xe/download_autoset_10_7_2
오토셋은 웹 개발 및 운영 환경을 쉽고 빠르게 구축하기 위해 만들어진 프로그램으로,
XVWA 테스트 환경을 윈도우에서 구축하기 위해 필요한 Apache/MySQL/PHP 서버등을
통합 설치 및 설정, 관리할 수 있도록 지원하는 GUI 환경의 프로그램이다.
1-1. 오토셋 설정
ㄱ. 설치 후 프로그램을 기동시킨 후 웹 서버 + MySQL 시작
ㄴ. 웹 브라우저 기동 후 localhost로 테스트 접속 (127.0.0.1)
정상 설치된 경우의 출력 화면
ㄷ. mysql 설정 변경
XVWA 개발자가 적어둔 설치 팁을 읽어보면 프로그램 개발 당시 사용하던
mysql 버전(5.7) 이상의 버전을 사용할 경우 별도의 설정을 추가로 하라고 경고한다.
해당 작업 없이 xvwa 프로그램을 구동할 경우 다음과 같은 Error 메시지를 만난다.
Access denied for user 'root'@'localhost' (using password: YES)
때문에 오토셋으로 혹은 별도로 mysql 콘솔창을 열어 다음과 같은 작업을 해준다.
MariaDB [(none)]> show databases;
MariaDB [(none)]> use mysql;
MariaDB [mysql]> select User,Host,Plugin from mysql.user;
> plugin 현재 설정 : none
> 세팅 값을 변경해보자
.
MariaDB [mysql]> update user set plugin=’mysql_native_password’
where user=’root’ ;
MariaDB [mysql]> select User,Host,Plugin from mysql.user;
> 다시 한 번 확인해 보면 plugin이 mysql_native_password로 변경됨
> 이제 새로운 PW를 등록해주자
MariaDB [mysql]> SET PASSWORD FOR ‘root’@’localhost‘= PASSWORD(’toor’);
2. XVWA 파일 다운 및 오토셋 설정
ㄱ. 소스 코드 다운 : https://github.com/s4n7h0/xvwa
다운 받은 후 압축 해제 경로는 ‘오토셋’이 설치된 경로로 바꿔준다.
예) C:\AutoSet10\xvwa-master
파일명 변경 작업 :
다운 받은 파일명은 xvwa-master로 되어 있고 압축 해제 시 하위 폴더명 또한
xvwa-master로 되어 있는데 이를 모두 xvwa로 바꿔준다.
경로 : C:\Autoset10 > xvwa > xvwa
ㄴ. 오토셋 설정
1) xvwa 폴더에 있는 [config.php] 파일을 메모장으로 열어
[password] 항목 설정 : “toor”
2) 오토셋 메인 화면 상단 메뉴 중 [설정] 선택 > [웹 서버 기본설정] 선택 >
홈 디렉터리 [폴더 찾기] 선택 > [C:\autoSet10\xvwa] 선택 > 포트번호
8080으로 변경 (호스트 OS와의 충동을 방지하기 위함) > [변경사항 적용]
3. myphpadmin 접속해 [xvwa] 데이터베이스 생성
ㄱ. 상단 메뉴중 [제어] > [phpMyAdmin] 선택 > ID/PASS = root/toor
ㄴ. 상단 [데이터베이스] > 새 데이터베이스 만들기 > xvwa 입력 후 [만들기]
4. XVWA 서버 접속 테스트 및 설정
ㄱ. 오토셋 웹 서버 / mysql 재기동
ㄴ. 웹 브라우저 http://127.0.0.1:8080/xvwa 접속
ㄷ. 좌측 메뉴 중 [Setup] - [Setup/Reset] 선택 > [Submit/Reset] 선택
설정 완료
# Log-in 정보
ID : PW
admin : admin
xvwa : xvwa
user : vulnerable
3. XVWA 서버 구축 - 리눅스
1. mysql 설정 변경 (mysql 버전이 맞지 않아 별도 설정 필요)
# mysql –u –root –p
MariaDB [(none)]> show databases;
MariaDB [(none)]> use mysql;
MariaDB [mysql]> select User,Host,Plugin from mysql.user;
> plugin 현재 설정 : unix_socket
> 세팅 값을 변경해주자
MariaDB [mysql]> update user set plugin=’mysql_native_password’
where user=’root’ ;
MariaDB [mysql]> select User,Host,Plugin from mysql.user;
> 다시 한 번 확인해 보면 plugin이 mysql_native_password로 변경됨
> 이제 새로운 PW를 등록해주자
MariaDB [mysql]> SET PASSWORD FOR ‘root’@’localhost‘= PASSWORD(’toor’);
2. 파일 [xvwa-setup] 다운로드 및 설치
# wget
https://raw.githubusercontent.com/s4n7h0/Script-Bucket/master/Bash/xvwa-setup.sh
# chmod +x xvwa-setup.sh
# ./xvwa-setup.sh
아래 항목 입력
Enter mysql username : root
Enter mysql password : toor
Enter the full web root path : /var/www/html
설치 완료 후 서비스 재기동
# systemctl restart apache2
# systemctl restart mysql
3. 테스트 접속 XVWA 설정
# firefox http://l127.0.0.1/xvwa (http://localhost/xvwa)
정상 설치 시 출력 화면
4. 접속 후 설정작업
좌측 메뉴 [Setup] 하단 [Setup/Rest] 선택 > [Submit/Reset] 클릭
설정 완료
# Log-in 정보
ID : PW
admin : admin
xvwa : xvwa
user : vulnerable
'WEB 진단 > WEB 진단' 카테고리의 다른 글
| 웹 모의해킹 실습 서버 [DVWA] 소개 및 설치 방법 (0) | 2021.02.10 |
|---|---|
| 웹 모의해킹 실습 서버 [DVWA] 소개 및 설치 방법 (0) | 2021.02.10 |
| 웹 모의해킹 실습 서버 [OWASP Juice Shop] 소개 및 설치 방법 (0) | 2021.02.03 |
| 웹 모의해킹 실습 서버 [Webgoat] 소개 및 설치 방법 (0) | 2021.02.01 |
| 웹 해킹과 모의해킹 (0) | 2021.01.24 |