Kali Linux, Kali Linux для продвинутого тестирования на проникновение, Mutillidae, Лаборатория пентестера

#12 Kali Linux для продвинутого тестирования на проникновение. Создание тестовой лаборатории. Mutillidae.

Здравствуйте, дорогие друзья.

Mutillidae — это небезопасное веб-приложение с открытым исходным кодом, предназначенное для практики пентестеров, и использования всех уязвимостей, связанных с веб-приложениями. XAMPP — еще один бесплатный продукт с открытым исходным кодом. Это кроссплатформенное программное обеспечение для веб-сервера, который можно использовать, и он был разработан Apache Friends. Теперь мы установим Mutillidae на недавно установленный Microsoft Windows Server 2016 (контроллер домена):

1. Вы можете загрузить XAMPP напрямую с https://www.apachefriends.org/download.html или выполнить следующую команду в PowerShell:

wget https://downloadsapachefriends.global.ssl.fastly.net/7.3.28/xampp-windows-x64-7.3.28-1-VC15-installer.exe?from_af=true -OutFile XAMPP-Installer.exe

В случае каких-либо ошибок SSL/TLS, при запуске wget в PowerShell убедитесь, что Вы выполните следующую команду в PowerShell:[Net.ServicePointManager]::SecurityProtocol=[Net.SecurityProtocolType]::Tls12 для этого убедитесь, что TLS1.2 поддерживается сервером Windows.

2. Мы будем использовать XAMPP для Windows версии 7.1.30. После завершения установки приложения, убедитесь, что Вы включили службы Apache и MySQL, установив флажок в разделе Сервис, на панели управления XAMPP, как показано на рисунке ниже:

XAMMP Control Panel showing Apache and MySQL running

3. Вы можете скачать последнюю версию Mutillidae прямо с https://github.com/webpwnized/mutillidae или выполнив следующую команду в PowerShell:

wget https://github.com/webpwnized/mutillidae/archive/refs/

heads/master.zip -OutFile mutillidae.zip

4. Разархивируйте файл и скопируйте папку в C:\yourxampplocation\htdocs\<mutillidae>.

5. Откройте файл .htacess в папке Mutillidae и добавьте Разрешить из 10.10.10.0/24, и диапазон IP будет разрешен.

6. Запустите службы Apache и MySQL, нажав кнопку «Пуск» в разделе «Действия», панели управления XAMPP. Вы должны увидеть, что веб-приложение успешно развернуто на Вашем Windows Server, доступ к которому можно получить, посетив http://10.10.10.100/mutillidae/.

7. Вы будете получать сообщения об ошибках базы данных, связанные с отказом в корневом доступе к MySQL. Откройте панель управления XAMPP, и убедитесь, что служба MySQL запущена и работает, и нажмите «Shell», и выполните следующие шаги, чтобы сбросить пароль root, как показано на рис. ниже:

mysql –u root

use mysql

SET PASSWORD FOR root@localhost = PASSWORD('mutillidae')

Flush privileges

Running the Shell from XAMPP and setting the MySQL password for the root user

8. Окончательное успешное развертывание уязвимого веб-приложения приведет к экрану, как показано на рисунке ниже:

Successfully accessing Mutillidae on Kali Linux within the same lab network

В случае сообщений об ошибках, говорящих о том, что база данных отключена или что-то аналогичное, Вы должны выбрать «Попробовать настроить/сбросить базу данных для Mutillidae». Если Вы столкнетесь с любыми другими сообщениями об ошибках отсутствующих файлов — убедитесь, что Вы отключили Защитник, запустив Set-MpPreference -DisableRealtimeMonitoring $true в PowerShell от имени администратора.

На этом все. Всем хорошего дня!

#1 Kali Linux для продвинутого тестирования на проникновение. Целевое тестирование.

#2 Kali Linux для продвинутого тестирования на проникновение. Методология тестирования.

#3 Kali Linux для продвинутого тестирования на проникновение. Введение в возможности Kali Linux.

#4 Kali Linux для продвинутого тестирования на проникновение. Установка на Raspberry Pi 4, VMware Workstation Player, VirtualBox, Docker.

#5 Kali Linux для продвинутого тестирования на проникновение. Kali в облаке Amazon Web Services (AWS).

#6 Kali Linux для продвинутого тестирования на проникновение. Kali на облачной платформе Google (GCP).

#7 Kali Linux для продвинутого тестирования на проникновение. Kali на Android (телефоны без рута).

#8 Kali Linux для продвинутого тестирования на проникновение. Настройка и кастомизация Kali Linux.

#9 Kali Linux для продвинутого тестирования на проникновение. Создание тестовой лаборатории. Active Directory и контроллер домена.

#10 Kali Linux для продвинутого тестирования на проникновение. Создание тестовой лаборатории. Установка Microsoft Exchange Server 2016.

#11 Kali Linux для продвинутого тестирования на проникновение. Создание тестовой лаборатории. Metasploitable3.