Annonce

Réduire
Aucune annonce.

Apprendre et s'entrainer au Web Hacking (failles web) avec WebGoat sur Kali Linux !

Réduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Tutoriel Apprendre et s'entrainer au Web Hacking (failles web) avec WebGoat sur Kali Linux !

    Apprendre (cours) et s'entrainer (exercices) au Web Hacking (vulnérabilités et failles web) avec WebGoat sur Kali Linux !

    Bonjour, le Web hacking et l'exploitation des vulnérabilités web est une part importante de la sécurité informatique.
    C'est pourquoi aujourd'hui je vous présente la plateforme WebGoat de OWASP; OWASP qui au passage est le créateur de Mantra (navigateur spécialisé en pentest), WebScrarab, OWASP Testing guide (gros white paper, remplis de techniques et d'exemples, la V4 est en cours de rédaction) etc.
    Bref OWASP l'éditeur de beaucoup de joyeusetés que nous, pentester, et hackers White Hat, ADORONS !

    Parlons de WebGoat, c'est une plateforme qui, sous la forme d'un site web en local a pour but l'enseignement des du web hacking (par le biais de cours et d'exercices pratiques).

    L'installation est assez complèxe, j'ai trouvé pas mal d'astuces en essayant de l'installer aujourd'hui (on va éviter de parler du temps que ça m'a pris, l'envie de sauter à la gorge des gars d'OWASP ne s'est pas encore complètement effacé...)

    Comme tout bon hacker, on sort notre VM: Kali Linux ! (Ceux qui ne l'ont pas... google it.)

    Lançons nous:

    INSTALLATION de WebGoat 5.4 sur Kali Linux:

    1) Téléchargez WebGoat 5.4 (1er lien) dans votre dossier root (Attentions à vos yeux, il y a marqué Windows ! Ne vous inquiétez pas c'est normal)
    On extrait:
    Code:
    unzip WebGoat-5.4-OWASP_Standard_Win32.zip
    2) Téléchargez l'archive de JAVA JDK 6
    (Prenez "Java SE Development Kit 6u45", soit la 1ere grille de téléchargement, ensuite parmis les 4 premiers liens, choisissez votre .bin en fonction de votre architecture (32/64), ils vous demanderont de créer un compte, j'ai du le faire aussi)
    On extrait:
    Code:
    sudo sh jdk-6u45-linux-x64.bin
    PS: Oui j'aurais pu directement déposer les .bin ici... mais NON, pourquoi ? La charte les gars, la charte, binaires interdis même si je suis admin.

    Déplacez le dossier JAVA fraichement extrait à l'intérieur du répertoire de WebGoat (faites le à souris, ou bien en ligne de commande si ça vous fait triper).

    3) Bidouillage du webgoat.sh
    Dans le répertoire de webgoat, éditez webgoat.sh via gedit ou leafpad.
    En dessous de "export CATALINA_HOME PATH"
    Ajoutez la ligne:
    Code:
    export JAVA_HOME=/root/WebGoat-5.4/jdk1.6.0_45/
    Maintenant il faut modifier les lignes 18, 20 et 24 du fichier et remplacer ces "1.5" par des "1.6"

    Pour ceux étant fatigués, ou pressés (pour ne pas dire "paumés"), voilà le fichier complet:
    Code:
    #! /bin/sh
    
    SYSTEM=`uname -s`
    CATALINA_HOME=./tomcat
    PATH=${PATH}:./tomcat/bin
    export CATALINA_HOME PATH
    export JAVA_HOME=/root/WebGoat-5.4/jdk1.6.0_45/
    
    chmod +x ./$CATALINA_HOME/bin/*.sh
    if [ $SYSTEM = "Darwin" ]; then
            JAVA_HOME=/System/Library/Frameworks/JavaVM.framework/Versions/1.5/Home
            export JAVA_HOME
    
    else
    
    is_java_1dot5() {
            if [ "X$JAVA_HOME" != "X" -a -d $JAVA_HOME ]; then
                    $JAVA_HOME/bin/java -version 2>&1 | grep 'version \"1.6' >/dev/null
                    if [ $? -ne 0 ]; then
                            echo "The JVM in \$JAVA_HOME isn't version 1.6."
                            exit 1
                    fi
            else
                    echo "Please set JAVA_HOME to a Java 1.6 JDK install"
                    exit 1
            fi
    }
    
    is_java_1dot5
    
    fi
    
    case "$1" in
    	start80)
    		cp -f $CATALINA_HOME/conf/server_80.xml $CATALINA_HOME/conf/server.xml 
    		$CATALINA_HOME/bin/startup.sh
    		printf "\n  Open http://127.0.0.1/WebGoat/attack"
    		printf "\n  Username: guest"
    		printf "\n  Password: guest"
    		printf "\n  Or try http://guest:[email protected]/WebGoat/attack \n\n\r"
    		sleep 2
    		tail -f $CATALINA_HOME/logs/catalina.out
    	;;
    	start8080)
    		cp -f $CATALINA_HOME/conf/server_8080.xml $CATALINA_HOME/conf/server.xml 
    		$CATALINA_HOME/bin/startup.sh
    		printf "\n  Open http://127.0.0.1:8080/WebGoat/attack"
    		printf "\n  Username: guest"
    		printf "\n  Password: guest"
    		printf "\n  Or try http://guest:[email protected]:8080/WebGoat/attack \n\n\r"
    		sleep 2
    		tail -f $CATALINA_HOME/logs/catalina.out
    	;;
    	stop)
    		$CATALINA_HOME/bin/shutdown.sh
    	;;
    	*)
    		echo $"Usage: $prog {start8080|start80|stop}"
    		exit 1
    	;;
    esac
    LANCEMENT de Webgoat sur Kali linux:

    Allez dans votre répertoire WebGoat
    Code:
    cd WebGoat-5.4
    On lance la bête
    Code:
    sudo sh webgoat.sh start80
    PS: À noté que vous avez le choix entre le port 80 et 8080. Si vous préférez le port 8080, remplacez "start80" par "start8080" (très logique).

    La bête est lancée, les attentifs ont vu que les ID de connexion étaient: guest/guest, pour les "fatigués" je le rappelle: id: guest | psw: guest

    Utilisation de WebGoat sous Kali Linux:
    Ouvrez votre navigateur, et tapez tout simplement:
    Code:
    127.0.0.1/WebGoat/attack
    Vous y êtes, suivez papa OWASP qui vous prend par la main avec son tuto d'initiation.
    PS: Aux non anhones: Oui c'est en anglais (évidemment) si vous ne le comprenez pas... apprenez-le (c'est plus qu'utile, surtout en sécurité informatique/hacking).


    Chers hackadémiciens, je vous souhaite énormément de joie dans ce domaine qu'est le web hacking et l'exploitation de failles web, mais n'y passez pas la nuit... c'est madame qui va gueuler sinon


    Suivre Hackademics: Twitter, Google+, Facebook.

  • #2
    Bonsoir,

    Je vais tester cela dès que j'ai le temps !

    A bientôt !
    Writer, Cyber Security Enthusiast! Follow me on Twitter: @SwitHak

    Commentaire


    • #3
      Superbe travail merci beaucoup. Les explications sont claires et la mise en place en est du coup grandement facilité. Je ne connaissais pas du tout et la découverte est interressante et enrichissante.

      Voila je l'ai testé et je tenais à en faire mon commentaire. Déjà ne pas se faire avoir comme moi qui me disais mince il démarre pas alors que j'avais mis mon WebGoat-5.4 dans Desktop.Si cela vous arrive changer le chemin dans

      Code:
      export JAVA_HOME=/root/Desktop/WebGoat-5.4/jdk1.6.0_45/
      Ensuite tout s'est passé comme proposé dans le tutoriel sans aucun souci.
      On arrive sur une jolie page web de webgoat avec une introduction sympathique et détaillé de ce qui nous attend et comment se servir des menus. On a la solution à disposition ce qui est tentant mais pas handicapant si l'on est devant une impasse. Il faut savoir parler anglais (ou le russe ) mais il est basique, ceux qui ont l'habitude des termes techniques en hacking et informatique ne seront pas désorienté le reste étant simple. Ensuite il y a assez de traducteurs sur internet pour s'en sortir.
      Un bémol la difficulté direct des attaques. Dans beaucoup de plateforme on a le type d'attaque mais aussi un tutoriel pour se reposer avec les Tools à utiliser. La je pense que si la personne débute il ou elle sera vite dépasser par l'anglicisme et le manque de détails. Si l'on veut plus de détails il faut ouvrir la solution mais ce n'est pas un choix qui nous fera progresser. C'est dommage car il est prenant. Un tutoriel d'introduction à la faille web suivis de la mise en situation même en anglais aurais été souhaitable et plus ludique. La on clique sur le nom de la faille on est directement projeté dessus sans explication.
      Je pense que cette plateforme est à utilisé par des hackers intermédiaires ou confirmés. Pour les débutants je préconise de se familiariser d'abord avec les diffèrentes failles et les Tools utilisés avant de s'y atteler.
      Voila ce n'est que mon avis. En tous cas merci pour cette découverte et la recherche pour la mise en place.

      Commentaire


      • #4
        Avec plaisir Dreamus !

        Concernant le chemin et répertoire d'installation, j'ai précisé en gras dans le tuto de télécharger webgoat dans le /root/ si vous modifiez ça, c'est à vos risques et périls

        Au sujet du manque d'explication, c'est vrai que la matière en guise de tuto est très faible, c'est surtout axé pratique et creusage de cervelle. Néanmoins dans chaque "lesson" vous pouvez cliquer sur le bouton "Lesson Plan" (menu central au dessus de chaque exo), qui vous donnera quelques explications sur le protocole utilisé etc.
        Vous pouvez aussi utiliser le .pdf d'OWASP que j'ai linké plus haut.


        Suivre Hackademics: Twitter, Google+, Facebook.

        Commentaire


        • #5
          Apprendre et s'entrainer au Web Hacking (failles web) avec WebGoat sur Kali L...

          Merci pour la description. On va essayé de se familiariser avec la langue de Shakespeare. En revanche les directives de l install sont nette et précise, ce qui annonce une bonne galère en amont. Merci pour nous.


          Envoyé de mon iPhone en utilisant Tapatalk
          Cordialement.

          ArArdus.

          Commentaire


          • #6
            Bonsoir,

            Ca fait un moment que je fouille la toile mais à vrai dire je suis nouveau dans ce milieu...
            En essayant d'installer WebGoat, je tombe sur l'erreur indiquée dans webgoat.sh à savoir : Please set JAVA_HOME to a Java 1.6 JDK install. Et je ne suis pas foutu de trouver comment résoudre le problème !

            Un petit coup de pouce serait le bienvenu, car je ne suis pas encore hyper à l'aise mais je me soigne !

            A plus !

            Commentaire


            • #7
              Holà,

              Tu es sous Win ou Linux ?
              Tu as les deux procédures ici https://docs.oracle.com/cd/E19509-01...dk_javahome_t/


              Une procédure Linux un peu plus expliquée : http://www.cyberciti.biz/faq/linux-u...path-variable/


              Suivre Hackademics: Twitter, Google+, Facebook.

              Commentaire

              Chargement...
              X