【注意】このサイトに記載されていることを他人に試すことは「不正アクセス禁止法」に該当する場合があります。詳しくはこちらから

VM VirtualBox6.1でやられサーバOWASP BWAを構築します

ホワイトハッカーの知識やられサーバ,OWASP BWA

私の開発環境がWindows11にアップデートしました。
 
ホワイトハッカー見習いの私は、
新たにVM VirtualBox6.1.38をインストールして仮想環境下でKali Linuxをインストールしました。
 
ここまでは良かったのですが・・・
 
テストを行うための「やられサーバ」である「Metasploitable2」がインストールできないのです。
「kernel panic」というエラーが出ました。
結構時間をかけて調べたのですが、もう少し時間が必要なためインストールを断念!!
次に「bWAPP bee-box」をインストールしようと考え、ダウンロードしようとサイトにアクセスしたところ
 
Warning! Malware detected. Download at your own risk.の文字が・・・
警告!マルウェアが検出されました。ダウンロードはご自身の責任でお願いします。
インストールできない!! 踏んだり蹴ったりです。
  
脆弱なサーバーを立ててテストが出来ないのです。
 
Windows11にアップデートした為なのか調子が悪いです。
 
再度、VM VirtualBox6.1で構築できる脆弱サーバを探すと・・・ありました!!
OWASP BWAという脆弱サーバです。
Last Updateが2016-09-29になっていますが、他に脆弱サーバがないので、OWASPをインストールします。

OWASP BWAとは

OWASP BWA(Open Web Application Security Project Broken Web Applications)とは、意図的に脆弱性が存在する「やられサーバ」です
VM VirtualBox6.1.38に構築でき、Kali Linuxでテストが出来そうです。
 
今回は、OWASP BWAをインストールします。
 
 

OWASP BWAの機能について

このプロジェクトには、さまざまな種類のオープン ソース アプリケーションが含まれています。
詳しくは、OWASP BWAで立ち上がったサイトの「User Guide」をご覧ください。
  • TRAINING APPLICATIONS
    (トレーニング アプリケーション)
  • REALISTIC, INTENTIONALLY VULNERABLE APPLICATIONS
    (現実的で意図的に脆弱なアプリケーション)
  • OLD (VULNERABLE) VERSIONS OF REAL APPLICATIONS
    (古い (脆弱な) バージョンのリアル アプリケーション)
  • APPLICATIONS FOR TESTING TOOLS
    (テスト ツールのアプリケーション)
  • DEMONSTRATION PAGES/SMALL APPLICATIONS
    (
    デモページ/小さなアプリケーション)
  • OWASP DEMONSTRATION APPLICATION
    (OWASP デモンストレーション アプリケーション)
 

OWASP BWAのダウンロード

SOURCEFORGEサイトの「OWASP Broken Web Applications Project」を開きます。
 
そして、緑色の「Download」ボタンを押下して
「OWASP_Broken_Web_Apps_VM_1.2.7z」ファイルをダウンロードします。
 
OWASP_Broken_Web_Apps_VM_1.2.7zファイルは圧縮されていますので、解凍しておいてください。
 

OWASP BWAのインストール

1.Oracle VM VirtualBoxを立ち上げます。
 
2.新規ボタンを押下します。
 
3.「名前とオペレーティングシステム」画面で以下の項目を設定します。
 
・名前:任意です。(私はOWASP-001としました。)
・マシンフォルダー:デフォルト
・タイプ:Linux
・バージョン:Ubuntu(64-bit)
上記設定後、「次へ」ボタンを押下します。
 
4.「メモリーサイズ」画面でパソコンの状況にもよりますが、私は「4096MB」と設定しました。
上記設定後、「次へ」ボタンを押下します。
 
5.「ハードディスク」画面で「仮想ハードディスクを作成する」にチェックを入れます。
上記設定後、「作成」ボタンを押下します。
 
6.「ハードディスクのファイルタイプ」画面で「VMDK(Vitual Machine Disk)」にチェックを入れます。
上記設定後、「次へ」ボタンを押下します。
 
7.「物理ハードディスクにあるストレージ」画面で「可変サイズ」にチェックを入れます。
上記設定後、「次へ」ボタンを押下します。
 
8.「ファイルの場所とサイズ」画面でで以下の項目を設定します。
・ファイルの場所:デフォルト
・サイス:20GB
上記設定後、「作成」ボタンを押下します。
 
9.これで、OWASP-001の環境の作成が完了しました。
 
10.次に「OWASP BWA」のソフトをインストールします。
OWASP-001が選択されている状態で「設定ボタン」を押下します。
 
11.「システムのマザーボード」画面で「ハードディスク」を最優先にします。
 
12.「システムのプロセッサ」画面で「プロセッサ数」を2以上にします。
 
13.「ストレージ」画面の下部にある3つのアイコンの一番右の「新規ストレージの割り当てを追加します。」クリックして「ハードディスク」を選択します。
 
14.「ハードディスク選択」画面で「追加」ボタンを押下します。
 
15.先ほどダウンロードした「OWASP_Broken_Web_Apps_VM_1.2.7z」ファイルを解凍すると「OWASP Broken Web Apps-cl1.vmdk」があるのでこのファイルをクリックします。
 
16.「ハードディスク選択」画面に戻りますので、「選択」ボタンを押下します。
 
17.「ネットワーク」画面の「ネットワークアダプターを有効化」の割り当てに「NAT」が設定されていますが、これを「ホストオンリーアダプター」に変更します。
 
18.「OK」ボタンを押下してOWASP BWAのインストールを完了します。
 
 

OWASP BWAの起動

1.「起動」ボタンを押下します。
 
2.このような画面が表示されます。
 
3.画面をよく見ると画面真ん中にアドレスが表示されていると思います。
このアドレスが「やられサーバ」のアドレスになります。
例) 192.168.56.103 (貴方のパソコンの環境によっとアドレスは変わります。)
 
ブラウザを立ち上げて、アドレス欄に192.168.56.103を入力すると「やられサーバ」が立ち上がっていることがわかると思います。
 
4.OWASP-001のDOS画面(?)に戻り、画面下部にログインの情報が表示されていると思います。
・username:root
・password:owaspbwa
 
と表示されていると思います。
 
ログできると以下の画面が表示されます。
 
これで、OWASP BWAやられサーバが構築でき起動できました。
 

YouTubeに動画を掲載しました。

チャンネル登録と評価をよろしくお願いします。

VM VirtualBox6.1でやられサーバOWASP BWAを構築しますのまとめ

Windows11とVM VirtualBox6.1.38の環境でやられサーバを構築することができました。
最新ではないですが、仮想環境なので脆弱サーバのハッキングを思う存分できそうです。
 
すべて英語のため、調べながらの学習になりますが、楽しくハッキングしたいと思います。
 
こちらも参考にしてくださいね。
owaspbwa – UserGuide.wiki