初めに
どうも、クソ雑魚のなんちゃてエンジニアです。
今回は日々の生活でストレスを溜めているクソ雑魚のお仲間のために「総受け」してくれる便利なWebサイト環境を紹介しようと思う。
※基本的に攻撃用の環境(例:Kali Linux)に関する記事はよく見るのだが、受けてくれる環境に関する投稿は見ないので、「やらねば!」という意気込みで作成しています。
皆さんもこの総受けサイトを立ち上げて、是非とも日頃のうっぷんを此奴にぶつけていただきたい。
※にこちゃん、黄瀬くんは無関係です。。。
※このサイトを外部に公開するのはやめてください。絶対にローカル環境に立てましょう。死にますよ。
目次
- XVWAの紹介
- イメージファイルダウンロード
- 仮想環境構築
- Ubuntuのイメージ作成
- コントローラIDEの設定
- アダプター設定
- XVWAの立ち上がり確認
- まとめ
XVWAの紹介
 |
このXVWAのサイトは、脆弱性を多数孕んだペネトレーション検証用のサイトです。
以下の攻撃用に脆弱なページを用意しており、たんまりいじめることが可能です。
- SQL Injection
- SQL Injection (Blind)
- OS Command Injection
- XPATH Injection
- Formula Injection
- PHP Object Injection
- Unrestricted File Upload
- XSS - Reflected
- XSS - Stored
- XSS - DOM Based
- SSRF / XSPA
- File Inclusion
- Session Flaws
- Insecure Direct Object Reference
- Missing Functional Access Control
- CSRF
- Cryptography
- Redirects & Forwards
- Server Side Template Injection
イメージファイルダウンロード
まずISOイメージファイルをダウンロードしていきますが、以下のGitHubのリンクに詳細が記載されているので興味があれば一読してみてください。
上記リンクの下部にISOファイルをダウンロードできるMEGAのサイトがあるのでそこからダウンロードを実施しましょう。
※GitHubみるのめんどくさいという方は以下のURLから直接ダウウンロードしてください。
仮想環境構築
ダウンロードしたイメージファイルを用いて仮想環境を構築していきます。
構築基盤は何でもいいです。
私はVirtual Boxにでも構築したので、Virtual Boxでの構築方法でも記載します。
Ubuntuのイメージ作成
まずXVWAのサイトを乗せるUbuntuのイメージを作成します
タブメニューから
→「仮想マシン」
→「新規作成」
→「タイプ:Linux、バージョン:Ubuntu(何ビットでもどうぞ)」
→「メモリーサイズ:2048MB(くらいで)」
→「仮想ハードディスクを作成する」
→「作成」
→「ハードディスクのファイルタイプ:VDI」
→「物理ハードディスクにあるストレージ:可変サイズ」
→「ファイルの場所とサイズ:お好みでどうぞ」
→「作成」
といった順序で作成していけばOKです。
コントローラIDEの設定
タブメニューから
→「仮想マシン」
→「設定」
→「ストレージ」
→「コントローラ:IDE」の「光学ドライブの追加」から「追加」
→「XVWA.iso」を選択
→「空」のディスクイメージを削除
→「OK」
アダプター設定
タブメニューから
→「仮想マシン」
→「設定」
→「ネットワーク」
→「割り合て:ホストオンリーアダプタ」
→「OK」
※外への通信は許さないようにしましょう。
XVWAの立ち上がり確認
いよいよ総受けサイトXVWAを立ち上げます。
起動には少し時間がかかるので気長におまちください
起動後の画面で以下のコマンドを打って、どのIPが割り当てられているか確認しましょう。
xvwa@xvwa:~ $ ip a
IPを確認できたら(今回は便宜上「192.168.0.1」とする)、そのIPのサイトへアクセスしよう!
以下の例のようにブラウザでアクセスしてください。
http://192.168.0.1/xvwa
打ち込んで以下のようなサイトを閲覧できればOKです。
まとめ
第四回の投稿はいかがだったでしょうか?
XVWAという中々紹介している記事がない攻撃先サイトの一例を紹介をさせていただきました。
今回もセキュリティエンジニアの皆さんの助けになればなと思います。
※「総受け」の需要はあるのか?...