DVWA: Testez vos compétences en Hacking

S

DVWA (Damn Vulnerable Web App) est une application Web qui est sacrément vulnérables écrite en PHP/MySql . Elle est légère, facile à utiliser et plein de failles à exploiter.
DVWA est destiné aussi bien aux professionnels de la sécurité qu’aux personnes souhaitant s’entraîner ou voulant en apprendre plus sur les attaques Web, de tester des techniques d’attaques dans un environnement légal.

Les principaux objectifs de DVWA

  • Apprendre à identifié les vulnérabilités des sites et des applications web,
  • Tester les techniques d’exploitation et d’intrusion,
  • Apprendre les méthodes de correction pour mieux sécuriser des systèmes .

Les failles web disponible dans l’application DVWA

Installation de Damn Vulnerable Web App

Tout d’abord, téléchargez l’application sur Sourceforge, puis placer le dossier Dvwa dans votre serveur web WAMP ou XAM ou encore Esayphp.
Lancez l’application sur localhost http://127.0.0.1/dvwa/index.php . Un installeur vous permettra de l’installer en quelques clics.
Le login de l’application c’est : Admin et le mot de passe : password
Pour installer la base de données, il suffit de cliquer sur setup dans le menu principal, puis cliquez sur « Create / Reset Database ».

pentester1 DVWA: Testez vos compétences en Hacking

Comment mettre en pratique quelques attaques sur DVWA ?

L’application DVWA contient trois niveaux de difficulté: Facile, moyen et difficile.
Je vous recommande d’en choisir le niveau facile pour commencer, afin de ne pas se décourager. Bien entendu, vous pourrez passer aux niveaux suivants par la suite, mais il est préférable de commencer intelligemment.

Dans l’exploitation d’une faille, il vous faudra certaines qualités humaines pour réussir: patience, persévérance et discrétion. C’est une étape où il faudra utiliser au mieux ses connaissances en informatique, et je pèse mes mots. icon smile DVWA: Testez vos compétences en Hacking

Remarque: Pour changer le niveau de difficulté, cliquez sur « DVWA Security » et choisissez le niveau qu’il vous faut.

Attaque XSS DVWA 

Nous allons commencer par la réalisation d’une attaque de type XSS permanente.
Pour cela, nous allons choisir «XSS stored » dans le menu a droite. Un joli formulaire avec deux champs est alors affiché. Normalement la détection de la présence d’une faille XSS peut se faire en entrant un code javascript dans un champ de formulaire ou dans une URL.
Donc on tape la ligne suivante dans le champ message de notre formulaire :

<script>alert('FunInformatique')</script>

Si une boîte de dialogue apparaît, on peut en conclure que l’application Web est sensible aux attaques de type XSS. Ce script s’exécutera à chaque fois qu’on visite cette page.

audit2 DVWA: Testez vos compétences en Hacking
Il reste maintenant que vous exploitez cette faille un avec code JavaScript plus utile et si vous n’avez pas le temps de coder du JavaScript, utilisez BeEF, un Framework d’Exploitation XSS.

Il faut savoir que dans le niveau facile, la sécurité est absente complètement dans l’application.

Attaque Upload sur DVWA 

Nous allons maintenant passer à l’exploit de la faille upload (niveau facile). On clique sur « Upload » dans le menu droit.
La faille upload est une faille permettant d’uploader des fichiers avec une extension non autorisée (par exemple un code php).
Pour l’exploiter, nous allons essayé d’uploder un Web Shell PHP(comme C99 ou R57) sur le serveur qui va nous donner le contrôle du serveur.

Pour cela, cliquez sur parcourir, sélectionner votre shell PHP et validez

Le fichier est uplodé avec sucées. Il vous reste maintenait d’exécuter le shell  qui se trouve dans: http://localhost/dvwa/hackable/uploads/

upload faille DVWA: Testez vos compétences en Hacking

Vous pourrez vous amuser en local avec d’autre type de faille dans les différents niveaux. Entraînez vous bien et testez vos compétences en hacking légalement. Cela vous donne l’occasion de montrer ce que vous pouvez faire. icon wink DVWA: Testez vos compétences en Hacking
Et si vous êtes bloqués dans un test, n’hésitez pas à nous en informer dans un commentaire. icon smile DVWA: Testez vos compétences en Hacking

Pour plus de nouveautés, merci de vous abonner à la newsletter du blog ou à son flux RSS. N’hésitez pas aussi à faire un tour sur Twitter, Google+ ou encore Facebook pour d’autres news.

Ceux qui ont aimé cet article ont également apprécié ceux-là :

Recherches qui ont permis de trouver cet article:

dvwa, damn vulnerable web application, comment utiliser dvwa, tutoriel sur linstallation de DVWA sous linux, havker avec shell c99 uplaod faille, dvwa xss stored, Aprendre l attaque dvwa, create database dvwa, compétence faille web, competance en web hacking

You can skip to the end and leave a response. Pinging is currently not allowed.
  • Beruk

    Merci pour le partage, je m’exerce avec ça depuis quelques jours.
    J’ai un peu galéré avec la faille upload (que ce soit niveau faible ou moyen (pas essayé la dur j’avoue) car apparemment il y a une limite de poids et le shell type c99 ou c100 sont plutôt assez volumineux. J’ai donc uploadé un vulgaire .php juste pour montrer qu’on pouvait bypasser ‘la protection’.
    J’ai encore pas essayé toutes les catégories mais ça me semble super intéressant !

  • salikh

    Merci pour cette application fantastique…

  • hedi

    exeptionnel merci!