Instalación de DVWA Machine

La máquina DVWA (Damn Vulnerable Web Application) fue desarrollada para realizar prácticas con respecto a temas de hacking web y ciberseguridad. Una herramienta muy útil para ganar experiencia en el mundo del pentesting. A continuación, vamos a estar mostrando los pasos para su correcta instalación en Kali Linux. Aunque también puedes instalarlo en otra distribución de Linux si deseas.

Primera parte

Primero nos dirigimos al siguiente link https://github.com/digininja/DVWA.git y luego a través de nuestra shell, descargamos los paquetes en el directorio /var/www/html de la siguiente forma:
git clone https://github.com/digininja/DVWA.git

Como vemos, se nos ha creado el directorio DVWA. Hecho esto, procedemos a darle todos los permisos para realizar las siguientes tareas.

Luego, nos dirigimos dentro de dicha carpeta /DVWA/config donde copiaremos el archivo config.inc.php.dist con el nombre config.inc.php

Una vez hecho esto, procederemos a editar dicho archivo creado de la siguiente manera. Esto se puede realizar mediante cualquier editor de texto, ya sea Vim, nano, gedit, etc..

Se nos aparecerá la siguiente pantalla con la cual, procederemos a editar el recuadro marcado por ‘admin’ y ‘password’

Muy bien, hasta aquí ya hemos configurado el archivo que nos permitirá loguearnos en el sistema. Ahora bien, debemos crear dicho usuario, su dirección y contraseña. Para ello lo primero que haremos será activar el servicio mysql de la siguiente manera: systemctl start mysql.

Segunda parte

Ahora bien, una vez hecho esto, lo que haremos será lo siguiente:

1- Crearemos una base de datos. Para esto nos conectaremos a mysql a través del comando mysql –u root o mysql –u root –p (en el caso de que nos pida una contraseña pondremos cualquiera o la nuestra de loggin).
2- Especificaremos usuario (admin), su dirección (localhost o 127.0.0.1) y la contrseña (password).
3- Le daremos todos los privilegios dentro de dvwa.* a dicho usuario-dirección.
4- Finalmente, salimos de mysql.

Finalmente, procederemos a activar el servicio apache2 de la siguiente manera: systemctl start apache2.
Ahora bien, vamos a editar el archivo php.ini el cual se encuentra en la siguiente ruta /etc/php/8.1/apache2/.

Esta vez editaremos dicho archivo con el editor nano php.ini. Una vez dentro, en el apartado “Fopen wrappers” pondremos en modo on la línea allow_url_include y allow_utl_fopen (la cual suele venir en modo on por defecto). Cabe aclarar que estas líneas se encuentran en el número 865, para no estar bajando constantemente, con el editor nano podemos hacer Ctrl+W luego colocamos “Fopen” presionamos enter y nos llevará donde muestra la siguiente imagen.
Una vez editado podemos guardar los cambios con Ctrl+X y luego salimos con Ctrl+C. En caso que nos pregunte si deseamos guardar los cambios, presionamos Y y luego enter.

Ahora bien, reiniciaremos el servicio apache2 como se muestra en la imagen y nos dirigiremos a nuestro navegador.

Una vez dentro del navegador, pondremos lo siguiente: 127.0.0.1(o localhost)/DVWA/login.php donde se nos presentará la siguiente imagen.
Procederemos a loguearnos con el usuario “admin” y password “password” (o passwd) como habíamos configurado:

En el caso de que no nos aparezca nada nos dirigiremos a 127.0.0.1/DVWA/setup.php y presionaremos el botón de “Create / Reset Database”

Aunque por lo general, esta configuración suele aparecer luego de loguearnos. Por lo tanto, una vez dado el clik en create/reset database se nos volverá a aparecer el cuadro de logueo. Volvemos a loguearnos y se nos aparecerá la máquina completa lista para utilizar.

Así concluimos con la instalación de DVWA machine. Como puede observar, en el lado izquierdo se encuentran las vulnerabilidades web, las cuales tienen cuatro niveles (low, medium, high y impossible) que podemos elegir a través de la sección marcada en dicha imagen. ¡Finalmente, ya podemos empezar a trabajar en esta máquina!