DVWA – Mise en en place & TDs

SERVEUR WEB
• MAC :
o MAMP : https://www.mamp.info/en/downloads/
o XAMPP : https://www.apachefriends.org/fr/download.html
• WINDOWS
o WAMP : https://www.wampserver.com/
o MAMP : https://www.mamp.info/en/downloads/
o XAMPP : https://www.apachefriends.org/fr/download.html
• LINUX
o (Installation graphique) XAMPP : https://www.apachefriends.org/fr/download.html
o (Ligne de commande) LAMP : https://doc.ubuntu-fr.org/lamp

INSTALLATION DE DVWA
1. Télécharger le .zip DVWA sur le Github : https://github.com/digininja/DVWA

2. Placer le dossier DVWA-master dans le serveur web :

a. (WAMP) C:\wamp64\www
b. (XAMPP) : C:\xampp\htdocs
c. (LAMP) : /opt/lampp/
d. (MAMP) /Applications/MAMP/htdocs

3. Fichier de configuration : DVWA-master/config/config.inc.dist

a. Le renommer en config.inc.php
b. $_DVWA[ 'db_user' ] = 'dvwa';
c. $_DVWA[ 'db_password' ] = 'dvwa';
• (MAMP) changer le db_port en 8889 (check les préférences MAMP)
• (MAMP) changer le username en 'root' et le mdp en 'root' (creds pour se
connecter à phpMyAdmin)
• (WINDOWS - XAMPP) changer le username en 'root' et le mdp en '' (rien)
==> accéder à setup.php ==> Create / Reset Database

4. Créer un utilisateur dans PHPMyAdmin

a. (MAMP) http://localhost:8888/phpMyAdmin/index.php
b. (WAMP) http://localhost/phpMyAdmin/index.php
c. username : "dvwa" / password : "dvwa"
d. Remarque : le hostname est « localhost » (pas any - %) sinon, risque de beug au
moment de la création de la BDD pour DVWA
e. Éditer les privilèges (cocher les bonnes cases) pour lui donner les droits de créer la
BDD

5. Accéder à :
a. (MAMP) localhost:8888/DVWA-master/index.php ---> setup.php
b. (WAMP) localhost/DVWA-master/index.php ---> setup.php
c. Créer la BDD

6. Identifiants permettant de se connecter à DVWA : ''admin'' / ''password''

7. Onglet DVWA Security ---> changer la difficulté à low

Annexe

--> Pour ceux sur LINUX voulant installer LAMP :

1. Installer LAMP : https://doc.ubuntu-fr.org/lamp

2. Installer PHPMyAdmin : https://www.linuxshelltips.com/install-phpmyadmin-in-linux/

3. Pour Linux, si on veut accéder à PHPMyAdmin on peut créer un new user ou alors modifier le
'root' :
sudo mysql
CREATE USER 'newuser'@'localhost' IDENTIFIED BY
'some_very_complex_password';
GRANT ALL PRIVILEGES ON * . * TO 'newuser'@'localhost';
FLUSH PRIVILEGES;

TD 1

Aller sur l’onglet « SQL Injection ».

Grâce à des injections SQL :
• Trouver la version de la BDD
• Trouver le nom de la machine
• Nom de la BDD
• Découvrir les noms des tables
• Obtenir l'emplacement de la BDD sur le système
• Trouver les mots de passe des utilisateurs

Quelques sources de commandes SQL :

• https://www.w3schools.com/mysql/mysql_sql.asp
• https://www.javatpoint.com/mysql-commands-cheat-sheet

TD 2

Grâce à Hydra, réaliser une attaque par dictionnaire sur le formulaire accessible sur DVWA
dans l'onglet "Brute Force".

Hydra est utilisable sur Windows, Mac ou Linux. Il est déjà installé sur Kali Linux.

Pistes de réflexion :

• Le username est : admin

• Des listes de mots de passe sont accessibles à l'adresse suivante :
https://github.com/danielmiessler/SecLists/tree/master/Passwords

Un seul compte rendu au format PDF est attendu pour les deux TD.
Format : DVWA_NOM_Prenom.pdf