Apprendre (cours) et s'entrainer (exercices) au Web Hacking (vulnérabilités et failles web) avec WebGoat sur Kali Linux !
Bonjour, le Web hacking et l'exploitation des vulnérabilités web est une part importante de la sécurité informatique.
C'est pourquoi aujourd'hui je vous présente la plateforme WebGoat de OWASP; OWASP qui au passage est le créateur de Mantra (navigateur spécialisé en pentest), WebScrarab, OWASP Testing guide (gros white paper, remplis de techniques et d'exemples, la V4 est en cours de rédaction) etc.
Bref OWASP l'éditeur de beaucoup de joyeusetés que nous, pentester, et hackers White Hat, ADORONS !
Parlons de WebGoat, c'est une plateforme qui, sous la forme d'un site web en local a pour but l'enseignement des du web hacking (par le biais de cours et d'exercices pratiques).
L'installation est assez complèxe, j'ai trouvé pas mal d'astuces en essayant de l'installer aujourd'hui (on va éviter de parler du temps que ça m'a pris, l'envie de sauter à la gorge des gars d'OWASP ne s'est pas encore complètement effacé...)
Comme tout bon hacker, on sort notre VM: Kali Linux ! (Ceux qui ne l'ont pas... google it.)
Lançons nous:
INSTALLATION de WebGoat 5.4 sur Kali Linux:
1) Téléchargez WebGoat 5.4 (1er lien) dans votre dossier root (Attentions à vos yeux, il y a marqué Windows ! Ne vous inquiétez pas c'est normal)
On extrait:
Code:
unzip WebGoat-5.4-OWASP_Standard_Win32.zip
(Prenez "Java SE Development Kit 6u45", soit la 1ere grille de téléchargement, ensuite parmis les 4 premiers liens, choisissez votre .bin en fonction de votre architecture (32/64), ils vous demanderont de créer un compte, j'ai du le faire aussi)
On extrait:
Code:
sudo sh jdk-6u45-linux-x64.bin
Déplacez le dossier JAVA fraichement extrait à l'intérieur du répertoire de WebGoat (faites le à souris, ou bien en ligne de commande si ça vous fait triper).
3) Bidouillage du webgoat.sh
Dans le répertoire de webgoat, éditez webgoat.sh via gedit ou leafpad.
En dessous de "export CATALINA_HOME PATH"
Ajoutez la ligne:
Code:
export JAVA_HOME=/root/WebGoat-5.4/jdk1.6.0_45/
Pour ceux étant fatigués, ou pressés (pour ne pas dire "paumés"), voilà le fichier complet:
Code:
#! /bin/sh SYSTEM=`uname -s` CATALINA_HOME=./tomcat PATH=${PATH}:./tomcat/bin export CATALINA_HOME PATH export JAVA_HOME=/root/WebGoat-5.4/jdk1.6.0_45/ chmod +x ./$CATALINA_HOME/bin/*.sh if [ $SYSTEM = "Darwin" ]; then JAVA_HOME=/System/Library/Frameworks/JavaVM.framework/Versions/1.5/Home export JAVA_HOME else is_java_1dot5() { if [ "X$JAVA_HOME" != "X" -a -d $JAVA_HOME ]; then $JAVA_HOME/bin/java -version 2>&1 | grep 'version \"1.6' >/dev/null if [ $? -ne 0 ]; then echo "The JVM in \$JAVA_HOME isn't version 1.6." exit 1 fi else echo "Please set JAVA_HOME to a Java 1.6 JDK install" exit 1 fi } is_java_1dot5 fi case "$1" in start80) cp -f $CATALINA_HOME/conf/server_80.xml $CATALINA_HOME/conf/server.xml $CATALINA_HOME/bin/startup.sh printf "\n Open http://127.0.0.1/WebGoat/attack" printf "\n Username: guest" printf "\n Password: guest" printf "\n Or try http://guest:[email protected]/WebGoat/attack \n\n\r" sleep 2 tail -f $CATALINA_HOME/logs/catalina.out ;; start8080) cp -f $CATALINA_HOME/conf/server_8080.xml $CATALINA_HOME/conf/server.xml $CATALINA_HOME/bin/startup.sh printf "\n Open http://127.0.0.1:8080/WebGoat/attack" printf "\n Username: guest" printf "\n Password: guest" printf "\n Or try http://guest:[email protected]:8080/WebGoat/attack \n\n\r" sleep 2 tail -f $CATALINA_HOME/logs/catalina.out ;; stop) $CATALINA_HOME/bin/shutdown.sh ;; *) echo $"Usage: $prog {start8080|start80|stop}" exit 1 ;; esac
Allez dans votre répertoire WebGoat
Code:
cd WebGoat-5.4
Code:
sudo sh webgoat.sh start80
La bête est lancée, les attentifs ont vu que les ID de connexion étaient: guest/guest, pour les "fatigués" je le rappelle: id: guest | psw: guest
Utilisation de WebGoat sous Kali Linux:
Ouvrez votre navigateur, et tapez tout simplement:
Code:
127.0.0.1/WebGoat/attack
PS: Aux non anhones: Oui c'est en anglais (évidemment) si vous ne le comprenez pas... apprenez-le (c'est plus qu'utile, surtout en sécurité informatique/hacking).
Chers hackadémiciens, je vous souhaite énormément de joie dans ce domaine qu'est le web hacking et l'exploitation de failles web, mais n'y passez pas la nuit... c'est madame qui va gueuler sinon
Commentaire