Como instalar DVWA (Damn Vulnerable Web App) en Kali linux

Hola a todos,

Hace unos días que unos amigos me preguntaban sobre como probar herramientas y determinados ataques en un laboratorio, así que tanto para ellos como  y para todo aquel que le gustaría hacer sus pruebas y labs en un entorno controlado y con ganas de aprender os traigo DVWA (Damn Vulnerable Web App) es una aplicación web basada en PHP y MySQL, y con la que podremos “jugar” todo lo que queramos, por temas de comodidad, en mi caso la he montado sobre una máquina de virtual box, con Kali 1.0.6.

El proceso no dista mucho de como montaríamos cualquier CMS, así que empecemos:

  • Descargaremos DVWA desde su página web, a elegir con wget o directamente desde la web, con wget simplemente escribimos lo siguiente:

wget

  • Desde su página web, simplemente vamos a “downloads” y nos descargamos el zip.
  •  Ahora descomprimimos el zip, con #unzip v1.0.8.zip

unzip

 Ahora que ya lo hemos descomprimido, moveremos el directorio nuevo DVWA-1.0.8 a /var/www/dvwa así que: #mv DVWA-1.0.8 /var/www/dvwa y a continuación le daremos permisos:    chmod -R 755 dvwa

chmod

Ya nos queda poco, vamos a crear la bases de datos en el mysql, así que arrancamos el mysqld con: service mysql start  y a continuación:

  • mysql -u root -p
    • Nos pide password, simplemente pulsar Intro.
  • create database dvwa;
  • show databases;
    • Comprobamos que la base de datos se ha creado.
  • exit

mysql

Iniciamos apache:  #service apache2 start y abrimos el navegador para acceder a nuestro dvwa http://localhost/dvwa

dvwa1

 

Pulsamos en here,

dvwa2

Como podemos observar, nos da un error de que no se puede conectar a la base de datos, tranquilidad, no pasa nada, simplemente me he saltado un paso para que veáis que ocurre si no se hace 🙂

Para que funcione tendremos que editar el config.inc.php que hay en /var/www/dvwa/config –> usad vuestro editor favorito,  yo he usado VIM hay que dejar la línea que pone ‘db_password’ ] = ” tal y como se ve en la siguiente imagen.
config1

Reiniciamos apache: #service apache2 restart y volvemos a acceder con el navegador

config2

Hacemos click en el botón Create/Reset Database con lo que ahora si acabará de crearse correctamente todas las tablas de la base de datos, y volvemos a acceder con el navegador a la web http://localhost/dvwa

Usuario: admin

Contraseña: password

dvwa3

Pulsamos sobre login y ya estamos dentro, ya podemos empezar a utilizar este software para nuestras pruebas.

Y eso es todo, espero que os haya sido de utilidad.