[DVWA] Windows 환경 Docker를 이용한 DVWA세팅

Windows 환경 Docker를 이용한 DVWA세팅

1. Docker & DVWA 설치

WSL 설치

Windows 10 환경에서 Docker는 Hyper-V 또는 WSL(Windows Subsystem for Linux)을 이용하여 구동할 수 있다.
하지만 Hyper-V를 이용한 방식은 Windows 10 Pro 버전에서만 가능하고 Home 버전은 불가능하다는 단점이 있다.
(또한 WSL을 이용한 방법보다 불안정하다는 평가가 있어서 주로 WSL을 이용하여 구동한다고 한다.)

WSL 설치를 위해 cmd 창을 열어 아래와 같은 명령어를 입력한다.

wsl --install --web-download

위의 명령어가 잘 실행되었을 경우, Windows Subsystem for Linux가 설치되었다는 메시지와 함께 기본적으로 Unbuntu가 설치될 것이다. (그 후 재부팅을 해야 설치가 완료된다.)

 

Docker 설치

아래의 링크에서 Dcoker 설치 파일을 Windows 용으로 다운 받는다.

https://www.docker.com/products/docker-desktop/

 

DVWA 구동

Docker가 설치된 상태에서 DVWA 이미지를 구동하기 위해 cmd 창에 아래와 같은 명령어를 입력한다.

docker run --rm -it -p 80:80 vulnerables/web-dvwa

명령어가 실행되면 이미지를 하나 가져오고, 웹 서버의 로그가 표시되기 시작한다.

구동 상태는 Docker GUI 패널이나, cmd 창에서 아래와 같은 명령어로 확인 가능하다.

docker ps

아래와 같은 명령어를 이용하여 직접 접속도 가능하다.

docker exec -it CONTAINER_ID /bin/bash

위와 같이 구동이 잘 된 상태에서 웹 브라우저를 실행한 후 주소창에 localhost:80을 입력하면 다음과 같은 페이지가 나온다.

DVWA가 실행되고 있는 것을 확인할 수 있다.

기본 계정으로 로그인 한 후 진행한다.

admin / password

로그인하면 위와 같이 나오게 되는데 Create / Reset Database 버튼을 눌러주면 다음과 같이 실습할 수 있는 섹션이 생기며 설치가 완료된다.

 

2. DVWA 설정 및 이미지(patched) 저장

Setup에 들어가보면 다음과 같은 창이 나온다.

위에서 보면 설치 직후의 DVWA는 다음의 두 가지 기능  PHP function allow_url_include: Disabled , reCAPTCHA key: Missing 이 비활성화 되어 있는 기능을 확인할 수 있다. 각 기능이 필요한 경우를 대비하여 활성화 작업을 진행하고 이 작업 내역을 저장해보려 한다.

 

PHP allow_url_include 활성화

PHP 설정을 수정하기 위해 cmd 창에서 다음과 같은 명령어를 입력하여 Docker 이미지 내의 파일을 Host PC로 가져온다.

docker cp CONTAINER_ID:/etc/php/7.0/apache2/php.ini .

php.ini 파일을 현재 위치에 복사하여 메모장에서 수정 후 다시 붙여넣는 방식으로 수정한다.

(직접 접속하여 파일을 수정하지 않는 이유는 내부에 vi같은 문서 편집기가 없기 때문이다.)

위와 같이 allow_url_include 항목을 검색하여 Off로 설정되어 있는 것을 On으로 수정 후 저장한다.

그 후 cmd 창에서 docker cp 명령어를 이용하여 파일을 붙여넣기 한 후 직접 접속하여 쉘에서 apache를 재시작한다.

docker cp php.ini CONTAINER_ID:/etc/php/7.0/apache2/php.ini
docker exec -it CONTAINER_ID bash

# service apache restart

그 후 DVWA에 다시 접속하면 위와 같이 allow_url_include가 활성화된 것을 확인할 수 있다.

 

reCAPTCHA 활성화

다음 링크에 접속한다.

https://www.google.com/recaptcha/admin/create

사이트에서 위와같이 설정하여 생성해준다.

도메인에 localhost를 추가해 주어야 localhost 도메인에서 작동한다.

설정을 완료했다면 공개키(사이트키)와 비밀키가 하나씩 주어지게 된다.

다음과 같은 명령어를 입력하여 설정파일을 복사해와서 공개키와 비밀키를 입력해준 뒤 저장하고 docker cp명령어로 다시 붙여넣어준다.

docker cp CONTAINER_ID:/var/www/html/config/config.inc.php .

docker cp config.inc.php CONTAINER_ID:/var/www/html/config/config.inc.php

설정 완료 후 DVWA에 재접속하면 reCAPTCHA key가 작성되어 있는 것을 확인할 수 있다.

위와 같이 CAPTCHA가 작동하는 것도 확인할 수 있다.

 

Patched 버전으로 이미지 저장

위의 작업을 별도의 이미지로 저장하여, 추후 사용하도록 하기위해 cmd 창에 다음과 같은 명령어를 입력한다.

docker commit CONTAINER_ID vulnerables/web-dvwa:patched
docker images

위와 같이 TAG가 patched로 변경된 새로운 이미지가 생성된 것을 확인할 수있다.

해당 버전으로 실행하고 싶다면 다음과 같은 명령어를 입력하면 된다.

docker run --rm -it -d -p 127.0.0.1:80:80 vulnerables/web-dvwa:patched

---

질문 환영, 수정 및 보완에 대한 지적 환영