バグハンターが利用するアプリ「Burp Suite」を徹底的に使いこなす。パート1　windowsにXAMPPと、やられサーバーのテスト環境を構築する

これから、Burp Suiteを使いこなせるように学習していきます。

パート1では、Burp Suiteをインストールする前に、XAMPPとDVWAを利用してWindowsにテスト環境を構築していきます。

Burp Suiteは、ウェブアプリケーションのセキュリティテスト、ペネトレーションテスト、バグバウンティのためのツールです。主な機能はリバースプロキシとして動作するBurp Proxyであり、トラフィックの監視と編集が可能です。

 

Burp Suiteには、リピーター、デコーダー、シーケンサー、コンペアラーなどの便利なツールも備わっています。これらの機能を使って、セキュリティテストの効率を向上させることができます。

 

XAMPPとは、自分のパソコンに構築する「ローカルサーバー」です。

自分のパソコン内でハッキングのテストを行っても、誰にも迷惑はかけません。

 

XAMPPはWebとして必要な機能(Apacheウェブサーバー、MySQLデータベース、PHPおよびPerlプログラミング言語、およびその他のツール)を組み合わせた開発環境になります。

 

XAMPPは、ローカル環境でWebアプリケーションやウェブサイトを開発、テスト、実行するために使用されます。ApacheサーバーはWebページのホスティングに使用され、MySQLはデータベースの管理に使用されます。PHPやPerlなどのプログラミング言語は、Webアプリケーションの開発に使用されます。

 

DVWA(Damn Vulnerable Web Application)は、故意に脆弱性が埋め込まれたWebアプリケーションです。

DVWAは、セキュリティ専門家やエンジニアが実際の攻撃シナリオを再現し、実践的なセキュリティテストやトレーニングを行うために使用されます。

 

DVWAは、PHPとMySQLを使用して構築されており、多くの一般的なセキュリティ脆弱性が組み込まれています。これにより、ユーザーは異なるレベルの脆弱性に対して攻撃を実施し、セキュリティの問題を特定することができます。一般的な脆弱性としては、SQLインジェクション、クロスサイトスクリプティング（XSS）、クロスサイトリクエストフォージェリ（CSRF）、ファイルインクルージョン、ブルートフォース攻撃などがあります。

 

 

XAMPPのダウンロードとインストールを行います。

 

XAMPPの日本語公式ホームページへアクセスします。

・https://www.apachefriends.org/jp/index.html

 

 

・Windows向けXAMPP 8.2.4(PHP 8.2.4)をクリックします。

※バージョンは変わっている可能性があります。

自動的にXAMPPのインストーラーがダウンロードされます。

 

先ほどダウンロードしたファイルをクリックしてインストールを開始します。

 

1.「Question」画面が表示されました。

It seems you have an antivirus running. In some cases, this may slowdown or interfere the installation of the softwear Please visit the

following link to learn more about this.

httμ://apachefriends.org/en/faq-xampp-windcMvs.html#an1ivrnjs

Continue ｗith inｓtallaiion?

 

アンチウイルスが作動しているようです。場合によっては、ソフトウェアのインストールが遅くなったり、妨げられたりする場合があります。と警告がありました。

 

とりあえず「はい」で続けます。

 

2.こんどは「Warning」画面が表示されました。

lmportant! Because an activated UserAccount Control(UAC)on your system some functions of XAMPP are possibly restricted. With UAC please avoid to install XAMPP to C:\Program Files(missing write permisssions). 0r deactivate UAC with msconfig after this setup.user

 

重要です！お使いのシステムでUserAccount Control（UAC）が有効になっているため、XAMPPの一部の機能が制限されている可能性があります。UACを使用している場合、XAMPPをC:\Program Filesにインストールすることは避けてください（書き込み権限がない）。または、このsetup.userの後にmsconfigでUACを無効にしてください。 とあります。

 

とりあえず「OK」ボタンを押下します。

 

3.「Setup」画面が表示されました。「Next>」ボタンを押下します。

 

 

4.「Select Components」画面が表示されました。「Next>」ボタンを押下します。

 

5.「Installation folder」画面が表示されました。「Next>」ボタンを押下します。

 

6.「language」画面が表示されました。

※ここでは、「English」と「Deutsch(ドイツ語)」の2つしか選択肢がないため、「English」を選択します。

 

7.「Ready to Install」画面が表示されました。「Next>」ボタンを押下します。

 

8.XAMPPのインストールが始まります。

 

9.「Completing the XAMPP Setup Wizard」画面が表示されました。

これで、XAMPPのインストールが完了しました。「Finsh」ボタンを押下してください。

 

10.XAMPPのコントロールパネルが立ち上がりました。

 

Apacheとは、webサーバーのソフトウェアです。

Apacheを起動することにより、ホームページが立ち上がります。

Apacheのactionsのボタン「Start」をクリックします。

すると上部の図のようにボタンが「Stop」に変わり、webサーバーが立ち上がります。

 

 

ブラウザが立ち上がり、XAMPPのページが表示されました。

 

これで、「Apache」の起動が確認できました。

 

MySQLとはデータベース管理システム（RDBMS）です。

データベースは、データの管理や検索を可能にし、さまざまなアプリケーションやウェブサイトで広く使用されています。

MySQLのactionsのボタン「Start」をクリックします。

すると上部の図のようにボタンが「Stop」に変わり、データベース管理システムが立ち上がります。

 

ここでは、MySQLの「root」のパスワードを設定します。

1.コントロールパネルの右側の「Shell」ボタンをクリックします。

 

2.XAMPP for Windows(コマンドプロンプトのような画面)が表示されました。

 

3.「mysqladmin -u root password」と入力し、エンターボタンを押下します。

New passwordと聞いてくるのでMySQLのパスワードを設定します。

ここでは「passmysql」を入力して、エンターボタンを押下します。

そして、Confirm new passwordと聞いてくるので、再度「passmysql」を入力して、エンターボタンを押下します。

 

4.次に、「config.inc.php」ファイルを変更します。

 

C:\xampp\phpMyAdminのホルダーに格納されている「config.inc.php」ファイルをエディター(メモ帳など)で開きます。

 

5.以下の設定で、

$cfg['Servers’][$i]['password’] = ";

を先ほど設定したパスワード「passmysql」に変更します。

$cfg['Servers’][$i]['password’] = 'passmysql’;

 

 

 

これで、「MySQLのrootのパスワード」の設定が完了しました。

ちなみに、このパスワードのユーザ名は「root」になります。

※この情報は忘れないようしてください。

 

 

DVWAのダウンロードとインストールを行います。

 

1.下記のアドレスより、githubよりファイルをダウンロードします。

https://github.com/digininja/DVWA

 

2.ファイルのダウンロードは「緑色のCode」ボタンを押下して、「Download ZIP」をクリックします。

ダウンロードしたファイルは

DVWA-master.zip

 

2.ダウンロードしたzipファイルを解凍します。

DVWA-master のホルダが作成されました。

 

1.先ほどインストールしたXAMPPのフォルダーを開きます。

C:\xampp

 

2.次に、htdocsのフォルダーに移動します。

C:\xampp\htdocs

 

3.このフォルダーに「dvwa」のフォルダーを新規追加します。

 

4.先ほど解凍した「DVWA-master」フォルダーを開きます。

 

5.「DVWA-master」フォルダーにある全てのファイルを、「dvwa」にコピーします。

 

6.「config」フォルダーに移動します。

C:\xampp\htdocs\dvwa\config

 

7.「config」フォルダーにある、「config.inc.php.dist」ファイルの名前を、

「config.inc.php」にリネームします。

 

1.先ほど、リネームしたconfig.inc.phpをメモ帳で開きます。

 

2.上から17行目ぐらいに以下のデータベースの設定があります。

データベース名

$_DVWA[ 'db_database’ ] = 'dvwa’;

ユーザ名

$_DVWA[ 'db_user’ ]     = 'dvwa’;

パスワード

$_DVWA[ 'db_password’ ] = 'p@ssw0rd’;

※この情報を利用します。

 

3.DVWAのデータベースの作成を行います。

XAMPPを起動して、XAMPPのコントロールパネルより、ApachとMySQLのスタートボタンを押下します。

そして、コントロールパネルの右のボタンの「Shell」のボタンを押下します。

 

4.「XAMPP for Windows」のShellの画面が表示されます。

 

5.MySQLにアクセスします。以下のコマンドとパスワードを入力してください。

Enter password: passmysql

 

6.MySQLのコマンドでDVWAのデータベースを作成します。

※以下のコマンドを順番に入力していきます。

 

 

 

 

7.これでデータベースの設定が完了しました

ブラウザを立ち上げて、アドレス欄に

http://localhost/dvwa/　を入力します。

※もし、ログイン画面が表示された場合は、

dvwaのサイトが立ち上がりました。

 

1.トップページの左メニューから「Setup/ResetDB」をクリックします。

 

2.Setup/ResetDBの画面が表示されました。

画面の一番最後に「Create/Reset Database」のボタンがありますのでクリックします。

これで、データベースのセットアップが完了しました。

 

3.データベースセットアップ後のエラーについて

データベースをセットアップ後、画面に赤文字で表示されているのがエラーの箇所です。

 

「Burp Suite」のテストで必要があれば、そのつど修正したいと思います。

とりあえず、無視して作業を進めたいとおもいます。

 

 

「Burp Suite」を徹底的に使いこなす。パート1では、やられサーバーである「DVWA」をインストールしました。

これで、テスト環境ができました。DVWAのやられサーバーだけでもいろいろ楽しめると思います。

 

「Burp Suite」を徹底的に使いこなす。パート2では、windowsに「Burp Suite」をインストールします。