DVWA: Testez vos compétences en Hacking

Tout d’abord, téléchargez l’application sur Sourceforge, puis placer le dossier Dvwa dans votre serveur web WAMP ou XAM ou encore Esayphp.
Lancez l’application sur localhost http://127.0.0.1/dvwa/index.php . Un installeur vous permettra de l’installer en quelques clics.
Le login de l’application c’est : Admin et le mot de passe : password
Pour installer la base de données, il suffit de cliquer sur setup dans le menu principal, puis cliquez sur « Create / Reset Database ».

Comment mettre en pratique quelques attaques sur DVWA ?

L’application DVWA contient trois niveaux de difficulté: Facile, moyen et difficile.
Je vous recommande d’en choisir le niveau facile pour commencer, afin de ne pas se décourager. Bien entendu, vous pourrez passer aux niveaux suivants par la suite, mais il est préférable de commencer intelligemment.

Dans l’exploitation d’une faille, il vous faudra certaines qualités humaines pour réussir: patience, persévérance et discrétion. C’est une étape où il faudra utiliser au mieux ses connaissances en informatique, et je pèse mes mots.

Remarque: Pour changer le niveau de difficulté, cliquez sur « DVWA Security » et choisissez le niveau qu’il vous faut.

Attaque XSS DVWA 

Nous allons commencer par la réalisation d’une attaque de type XSS permanente.
Pour cela, nous allons choisir «XSS stored » dans le menu a droite. Un joli formulaire avec deux champs est alors affiché. Normalement la détection de la présence d’une faille XSS peut se faire en entrant un code javascript dans un champ de formulaire ou dans une URL.
Donc on tape la ligne suivante dans le champ message de notre formulaire :

Si une boîte de dialogue apparaît, on peut en conclure que l’application Web est sensible aux attaques de type XSS. Ce script s’exécutera à chaque fois qu’on visite cette page.

Il reste maintenant que vous exploitez cette faille un avec code JavaScript plus utile et si vous n’avez pas le temps de coder du JavaScript, utilisez BeEF, un Framework d’Exploitation XSS.

Il faut savoir que dans le niveau facile, la sécurité est absente complètement dans l’application.

Attaque Upload sur DVWA 

Nous allons maintenant passer à l’exploit de la faille upload (niveau facile). On clique sur « Upload » dans le menu droit.
La faille upload est une faille permettant d’uploader des fichiers avec une extension non autorisée (par exemple un code php).
Pour l’exploiter, nous allons essayé d’uploder un Web Shell PHP(comme C99 ou R57) sur le serveur qui va nous donner le contrôle du serveur.

Pour cela, cliquez sur parcourir, sélectionner votre shell PHP et validez

Le fichier est uplodé avec sucées. Il vous reste maintenait d’exécuter le shell  qui se trouve dans: http://localhost/dvwa/hackable/uploads/

Vous pourrez vous amuser en local avec d’autre type de faille dans les différents niveaux. Entraînez vous bien et testez vos compétences en hacking légalement. Cela vous donne l’occasion de montrer ce que vous pouvez faire.

Et si vous êtes bloqués dans un test, n’hésitez pas à nous en informer dans un commentaire.

Pour plus de nouveautés, merci de vous abonner à la newsletter du blog ou à son flux RSS. N’hésitez pas aussi à faire un tour sur Twitter, Google+ ou encore Facebook pour d’autres news.

Recherches qui ont permis de trouver cet article: