실습환경 세팅

29 Aug 2021 Security & Hacking


## 웹 해킹과 보안

  • 화이트 해커에 대한 꿈이 있다면
  • 웹 보안 강화에 관심있는 웹 개발자   테스터라면

  • 사이트에서 수백만 건의 개인정보가 털리는 과정, 이유를 알고싶다면

  • 🖐 주의사항
    • 타인 시스템 대상 해킹은 불법
    • 자신이 관리하는 시스템에 환경을 구축해서 실습해야함



실습 환경 구성하기

  • Virtual Box
    • 가상화 프로그램
      • 로컬 시스템 일부 자원으로 개별 OS 설치
      • Host System
        • 원래 로컬 시스템
      • Guest System
        • host system 에 새로 올리는 OS
    • https://www.virtualbox.org/wiki/Downloads
      • platform packages
      • Extension Pack


  • 칼리리눅스
    • 모의해킹, 보안관련, 웹해킹 프로그램이 모아둔 리눅스 OS

    • https://drive.google.com/file/d/1rPQEif1FWSaNAALS2fKDkt5LqVqo4NPx/view

    • 로그인정보
      • root / toor
    • 네트워크 ip 설정
      • ip addr //어댑터 할당 ip 보기
      • /etc/network/interfaces ``` auto eth0 iface eth0 inet dhcp //eth0 인터페이스를 dhcp를 이용해서 ip 주소를 부팅하자마자 자동으로 할당 auto eth1 iface eth1 inet dhcp //eth1 인터페이스를 dhcp를 이용해서 ip 주소를 부팅하자마자 자동으로 할당

      ```

      • systemctl restart networking //네트워크 재시작


    • 한글 font 다운
      • /etc/apt/sources.list
        • deb http://httpredir.debian.org/debian jessie main non-free contrib
          • 패키지 저장소를 칼리저장소에서 debian저장소로 변경. jessie(데비안 의 코드네임) 가 제공하는 해당 url 저장소 중 세종류의 패키지를 모두 포함해서 줘라
      • apt-get update
      • apt-get install -y fonts-nanum
      • 폰트를 캐시에 추가
        • fc-cache -f -v
    • 스냅샷 찍기
      • 스냅샷 = 복원지점
        • 나중에 돌리고 싶을때 스냅샷 찍은 지점으로 돌릴 수 있음


  • XAMPP
    • 칼리리눅스에 설치
    • Apache 웹서버, mysql, php 환경 쉽게 구성 가능
    • 웹어플리케이션을 간단히 실행 가능하게 도와줌

    • https://www.apachefriends.org/download.html

    • DVWA 파일 inclusion 공격 허용 설정
      • /opt/lampp/etc/php.ini
        • allow_url_include=On
      • DB start, Apache server restart
    • DVWA 에서 사용한 DB 테이블 생성
      • phpMyadmin
        • MySQL DB 설정 가능
          • create table dvwa


  • DVWA
    • 웹해킹 실습을 위해 개발된 웹어플리케이션
    • 이걸 이용해서 8가지 웹해킹 기술을 배울 예정!
    • 칼리리눅스에 설치
      • http://secuacademy.com/files/
      • unzip zip파일
      • XAMPP 가 서비스할 수 있는 폴더로 압축 풀린 폴더 이동
        • mv zip파일 /opt/lampp/htdocs/dvwa // htdocs 뒤의 ‘dvwa’ 가 홈페이지 접근 경로명
      • browser 에서 localhost/dvwa 접근
      • 추가 설정
        • reCAPTCHA 키 설정(CAPTCHA 관련 공격할 때 필요, 구글계정 필요)
          • https://www.google.com/recaptcha/admin/create
          • Label : dvwa, Domains : localhost, v2
          • 생성된 key 를 dvwa 에 등록
            • /opt/lampp/htdocs/dvwa/config/config.inc.php
              • recaptcha_public_key, recaptcha_private_key
        • 기본 세팅된 DB 패스워드 삭제
          • /opt/lampp/htdocs/dvwa/config/config.inc.php
            • db_password = ''
        • file/folder 쓰기 권한 주기
          • chmod 777 //모든 사용자에게 쓰기 권한




 보안  해킹

Comments