パソコンの仮想環境に脆弱なアプリケーションの環境「bWAPP bee-box」を作成する
【注意】2022/10/11
本日、bWAPPダウンロードしようとサイトにアクセスしたところ
Warning! Malware detected. Download at your own risk.の文字が・・・
警告!マルウェアが検出されました。マルウェアが検出されました。ダウンロードはご自身の責任でお願いします。
ご注意願います!!
Webアプリケーションのセキュリティテストを行うために「bWAPP bee-box」の環境を作成します。
※「bWAPP bee-box」の環境は仮想環境(VM VirtualBox)にインストールします。
仮想環境(VM VirtualBox)のインストールにつきましては「ディスクトップパソコンに仮想環境を作成してKali Linux 2021.1をインストール(手順)」をご覧ください。
https://whitemarkn.com/learning-ethical-hacker/virtualbox-kalilinux/
目次
bWAPPとは?
bWAPP(a buggy web application)は、意図的に安全でないウェブアプリケーションです。
セキュリティのテストでアプリのハッキングが行え、ウェブの脆弱性を発見したり、防止したりするのに役立ちます。
bWAPPがインストールされているUbuntsベースのLinuxになります。(ubuntu 8.04)
機能
- SQL、HTML、iFrame、SSI、OSコマンド、PHP、XML、XPath、LDAP、SMTPインジェクション
- ブラインド SQL インジェクションおよびブラインド OS コマンドインジェクション
- ブールベースおよびタイムベースのブラインドSQLインジェクション
- Drupageddon および Drupalgeddon2 (CVE-2018-7600)
- JAX および Web サービスの問題 (JSON/XML/SOAP)
- Heartbleedの脆弱性(OpenSSL)+検知スクリプト付属
- Shellshockの脆弱性(CGI)
- クロスサイトスクリプティング(XSS)とクロスサイトトレーシング(XST)
- phpMyAdmin BBCode Tag XSS
- クロスサイトリクエストフォージェリ (CSRF)
- 情報の公開:ファビコン、バージョン情報、カスタムヘッダーなど
- 無制限のファイルアップロードとバックドアファイル
- 古いファイル、バックアップファイル、参照されないファイル
- 認証、承認、セッション管理の問題
- パスワードとCAPTCHAの攻撃
- 安全でないDistCC、FTP、NTP、Samba、SNMP、VNC、WebDAVの設定
- Sambaによる任意のファイルアクセス4
- ディレクトリトラバーサルと無制限のファイルアクセス
- ローカルとリモートのファイルインクルード(LFI/RFI)
- サーバーサイドリクエストフォージェリ(SSRF)
- XML External Entity攻撃(XXE)
- 中間者攻撃 (HTTP/SMTP)
- HTTPパラメータ汚染とHTTP動詞の改ざん
- サービス拒否(DoS)攻撃。Slow Post、SSL-Exhaustion、XML Bomb、…
- POODLEの脆弱性
- BREACH/CRIME/BEAST SSL攻撃
- HTML5クリックジャッキングとウェブストレージの問題
- 安全ではない iFrame(HTML5 のサンドボックス化
- 安全でない直接オブジェクト参照(パラメータの改ざん)
- 安全でない暗号化ストレージ
- Cross-Origin Resource Sharing(CORS)の問題
- クロスドメインポリシーファイルへの攻撃(Flash/Silverlight)
- ローカル権限の昇格:udev、sendpage
- クッキーおよびパスワードリセットポイズニング
- ホストヘッダ攻撃:パスワードリセットポイズニング、キャッシュポリューション
- PHP CGI のリモートコード実行
- PHP の危険な Eval 関数
- ローカルおよびリモートでのバッファオーバーフロー (BOF)
- phpMyAdmin および SQLiteManager の脆弱性
- Nginx ウェブサーバの脆弱性
- HTTP レスポンスの分割、正当化されないリダイレクトやフォワード
- WSDL SOAP の脆弱性
- フォームベースの認証と認証なしのモード
- Active Directory LDAP統合
- ファジングの可能性
bWAPP bee-boxの構築
bWAPPのダウンロード
1.「SOURCE FORGE」サイトより「bee-box_v1.6.7z」をダウンロードします。
https://sourceforge.net/projects/bwapp/files/bee-box/
2.ダウンロードした「bee-box_v1.6.7z」を解凍しておきます。
(bee-box.vmdkを利用します。)
bWAPPの仮想マシンの設定
1.Oracle VM VitrualBoxを起動し、上部メニューの「新規」ボタンを押下します。
2.「名前とオペレーティングシステム」画面で以下の項目を設定して「次へ」ボタンを押下します。
名前:例)bwapp-001
マシンフォルダー:(デフォルト値)
タイプ:Linux
バージョン:Ubuntu(64-bit)
3.「仮想マシンの作成」画面でメモリーサイズを8192MBに変更して「次へ」ボタンを押下します。
(※2048MBで起動が遅く感じたため8192に変更しました。)
4.「ハードディスク」画面で「◎仮想ハードディスクを作成する」を選択して「作成」ボタンを押下します。
5.「ハードディスクのファイルタイプ」の画面で「VDI(VirtualBox Disk Image)」を選択して「次へ」ボタンを押下します。
6.「物理ハードディスクにあるストレージ」画面で「◎可変サイズ」を選択して「次へ」ボタンを押下します。
7.「ファイルの場所とサイズ」画面で「20GB」に変更して、作成」ボタンを押下します。
8.Oracle VM VitrualBoxマネージャー画面に「bwapp-001」が追加されました。
bWAPPのインストール
1.Oracle VM VitrualBoxマネージャー画面でツールの「bwapp-001」を選択して、画面上部の「設定」ボタンを押下します。
2.「設定」画面で、「ストレージ」を選択します。
3.「ストレージ」画面で「コントローラ:IDE」を選択して、画面下部にある3つのアイコンの一番右のアイコン「新規ストレージの割り当てを追加します。」から「ハードディスク」を選択します。
4.「ハードディスク選択」画面から「追加」ボタンを押下します。
5.「仮想ハードディスクファイルを選択してください」画面から、先ほどダウンロードして解凍した「bee-box.vmdk」を選択して「開く」ボタンを押下します。
6.「ハードディスク選択」画面に「bee-box.vmdk」が追加されているので、選択して「選択」ボタンを押下します。
7.「設定」画面に戻ったら、「OK」ボタンを押下します。
8.これで設定は完了しました。「起動」ボタンを押下します。
「ubuntu」が立ち上がり、「itsec games」が立ち上がります。
※IPアドレスの設定は画面上部の「terminal」ボタンからターミナルを開き、「ifconfig」コマンドが確認してください。
ちなみに「bWAPP」のLogin情報ですが
Login:bee
Password:bug
です。
IPアドレスの設定
bWAPPのubuntuのバージョンが8.04の為、昔?の設定をする必要があります。
(1)bwappの仮想環境のアドレスを「192.168.56.4」にします。
(2)bWAppをシャットダウンします。
(3)「Oracle VM VirtualBox マネージャー」画面で「設定」ボタンを押下して「ネットワーク」選択します。
※アダプター1が「NAT」になっていることを確認します。
(4)「アダプター2」のタブで「割り当て」に「ホストオンリーアダプター」を設定します。
(5)「OK」ボタンを押下して「Oracle VM VirtualBox マネージャー」の設定は完了です。
「ツール」より「bwapp-001」を起動(表示)します。
(6)/etc/network/interfacesのファイルを開きます
vi /etc/network/interfaces
※スラッシュ「/」が全角になっています。(7)interfacesの初期の内容
auto lo
iface lo inet loopback(8)以下のように変更しました。
auto lo
iface lo inet loopback
auto eth1
iface eth1 inet static
address 192.168.56.4
netmask 255.255.255.0
network 192.168.56.0
broadcast 192.168.56.255
gateway 192.168.56.254(9)名前解決(ホスト名からIPアドレスを調査)の設定を行うファイルの「resolv.conf」ファイルの所有グループを root に変更します。
sudo chgrp root /etc/resolv.conf
※スラッシュ「/」が全角になっています。※これで「bWAPP」を再起動して、「ifconfig」コマンドでアドレスが変更になっていることを確認してください。
カーソルがボタンに移動しない場合
私のパソコンだけかもしれませんが、ボタンを押下したくても、カーソルが移動しないことがありました。対応策は・・・
ウインドウを大きさをマウスで「大きくしたり」、「小さくしたり」(リサイズ)して、マウスを移動させてください。何回かするとボタンの上に移動できます。
キーボードの配列がめちゃくちゃ
コマンドを入力するときに気づくのですが、キーボードの配列がめちゃくちゃです。
変更方法は
(1)上部メニューの「system」から「Preferences」→「keyboard」を選択します。
(2)「Keyboard Preferences」画面より「Layouts」タブを押下します。
(3)「Keyboard model」の横のボタンを押下します。
(4)「Choose a Keyboard Model」画面より、
Vendors:Generic
Models:japanese 106-key を選択して「OK」ボタンを押下します。
(5)画面中央部にある「+Add」ボタンを押下します。
(6)「Choose a Layout」画面より、
Layouts:Japan
Variants:OADG109A を選択して「+ADD」ボタンを押下します。
(7)「Selected layouts」で「Japan OADG 109A」の「Default」にチェックを入れて、「Close」ボタンを押下してキーボードの設定は完了です。
※この設定は立ち上げる度に行う必要があるみたいです。(^^;;
bWAPPインストールのまとめ
bWAPPのインストールは特に問題はありませんでしたが、「マウスがボタンの上に移動しない」とか、ubuntuのバージョンが低く「IPアドレスの設定」に時間がかかってしまいました。
でも、「bWAPP bee-box」を利用することにより、Kali Linuxで脆弱なアプリケーションのテストができるようになりました。
仮想環境で構築するのが楽ですね。