Ubuntu 14.04 LTS Linux'a Webgoat Kurulumu | |||||
Bu yazı Webgoat web uygulamasının bir linux işletim sistemi olan Ubuntu 14.04 LTS üzerinden kurulumunu konu edinmektedir. Windows işletim sistemi için kurulum yapmak isteyenler bu adresten gerekli talimatları alarak kurulumlarını gerçekleştirebilirler. Bu yazıda geçen kurulum aşamaları muhtemelen tüm linux sürümleri için işlevseldir. Çünkü yüklemeler ve yapılandırmalar linux'un shell kodlamaları ile yapılmaktadır.
Linux için kurulum aşamaları şunlardan ibarettir:
Kurulumla uğraşmak istenilmezse alternatif olarak hazır WebGoat kurulu sanal makina seçeneği kullanılabilir. Bu çözüm makalenin sonunda alternatif olarak yer alacaktır.
1. JDK 1.6 KurulumuOracle tar.gz uzantılı hem 32 bitlik sisteme hem Webgoat'a ve hem de Webscarab'a uyumlu jdk paketi sunmadığından dolayı linux kurulumunda sadece 64 bitlik sistemler ele alınacaktır. a) OpenJDK Kontrolüİlk olarak sisteminizde bir openjdk paketi yüklü mü değil mi onu kontrol etmeniz gerekir. Bunun için CTRL + ALT + T kombinasyonu ile terminali açın. Aşağıdaki kodu girin: (Aşağıdaki kodları kopyalayıp terminale yapıştırmak istediğiniz takdirde CTRL + SHIFT + V kombinasyonu ile bu işlemi yapabilirsiniz. CTRL + V kombinasyonu işe yaramayacaktır. Linux'a yabancılara duyurulur.)java -version Eğer terminalde kod sonrası çıkan bilgilendirme notunda openJDK anahtar kelimesini görürseniz bu java sürümünden kurtulmanız gerekir ve Oracle'ın jdk'sını yüklemeniz gerekir. openJDK'dan kurtulmak için: sudo apt-get purge openjdk-*satırını terminale girin ve ardından oturum şifrenizi girip Enter'layın. Sonra y harfine basıp tekrar Enter'layın. Artık openJDK'dan kurtulmuş bulunmaktasınız. Eğer openJDK anahtar kelimesini görmezseniz bu adımı atlayınız. b) JDK Paketini YüklemeÖnce terminalinize root izni vermeniz her satırı girdiğinizde şifre sorma zahmetinden sizi kurtaracağından akıllıcadır. Dolayısıyla aşağıdaki satırı terminale girin.sudo su Sonra şifrenizi tuşlayın ve Enter'layın. Bu aşamada JDK 1.6 paketini indirmeniz gerekli. jdk-6u6-p-linux-x64.tar.gz paketini oracle'ın resmi sitesi olan bu adresten indirebilirsiniz. İndirme işlemini oracle'ın sitesinden lisans anlaşmasını "Accept" demek gibi ve üye olmak gibi prosedürlerden sonra yapabilirsiniz. İndirme işlemi sonrası Downloads klasörünüze inmiş bulunan tar.gz uzantılı paket için aşağıdaki kodlamalar ile bazı işlemler yapılacaktır. Aşağıdaki kodları satır satır olmak kaydıyla sırasıyla terminale giriniz: mkdir -p /usr/local/java cd /home/"your_user_name"/Downloads cp -r jdk-6u6-p-linux-x64.tar.gz /usr/local/java cd /usr/local/java chmod a+x jdk-6u6-p-linux-x64.tar.gz tar xvzf jdk-6u6-p-linux-x64.tar.gz Buraya kadar tar.gz uzantılı dosyayı /usr/local/java/ klasörüne kopyalamış olduk. Şimdi sırada bir yapılandırma ayarı var. Terminale aşağıdaki satırı girin: nano /etc/profile Ardından terminal ekranında görüntülenen kodların en aşağısına yön tuşları ile inin ve aşağıdaki kodları kopyala yapıştır yordamıyla ekleyin. JAVA_HOME=/usr/local/java/jdk1.6.0_06 PATH=$PATH:$HOME/bin:$JAVA_HOME/bin export JAVA_HOME export PATH Yapıştırdıktan sonra CTRL + X kombinasyonuna tıklayın. Ardından 'Y' tuşuna tıklayın ve Enter'layın. c) Linux Sistemini Yüklü JDK Konusunda BilgilendirmeBu aşama Linux sisteminize Oracle JDK'sının kullanım için mevcut olduğu konusunda bilgilendirir. Aşağıdaki satırları sırasıyla giriniz.update-alternatives --install "/usr/bin/java" "java" "/usr/local/java/jdk1.6.0_06/bin/java" 1 update-alternatives --install "/usr/bin/javac" "javac" "/usr/local/java/jdk1.6.0_06/bin/javac" 1 update-alternatives --install "/usr/bin/javaws" "javaws" "/usr/local/java/jdk1.6.0_06/bin/javaws" 1 Eğer yukarıdaki son satırı girdiğinizde anormal bir bilgilendirmeyle karşılaştıysanız endişelenmeyin. Diğer aşamaya geçebilirsiniz. d) Oracle JDK'sının Sistemin Varsayılan JDK'sı Olacağı Yönünde Linux'u BilgilendirmeSırasıyla aşağıdaki kodları terminale girin:update-alternatives --set java /usr/local/java/jdk1.6.0_06/bin/java update-alternatives --set javac /usr/local/java/jdk1.6.0_06/bin/javac update-alternatives --set javaws /usr/local/java/jdk1.6.0_06/bin/javaws Ardından şu komutu girin: . /etc/profile Evet, buraya kadar sorunsuz gelmişseniz JDK'nız düzgün yapılandırılmış demektir. Bunu ise şu şekilde anlarsınız: java -version Yukarıdaki komutu terminale girdiğinizde aşağıdaki gibi bir bildirim ekranıyla karşılaşmıssanız buraya kadarki işlemler sorunsuz tamamlanmış demektir. Bilgisayarınızı JDK aşamasını bitirdikten sonra yeniden başlatın ve sonraki adımlara geçin. Java version "jdk1.6.0_06" Java(TM) SE Runtime Environment (build jdk1.6.0_06-b25) Java HotSpot(TM) Server VM (build 23.1-b03, mixed mode) Eğer karşılaşmadıysanız bir sorun var demektir. Bu durumda yorum ekleyerek durumunuzu bana bildirebilirsiniz. 2. JAVA_HOME YapılandırmasıWebgoat çalışabilmek için JAVA_HOME yapılandırmasına ihtiyaç duyar. Bunun için aşağıdaki komutları sırasıyla terminalinize girin: $echo $JAVA_HOME export PATH=$PATH:/usr/local/java/jdk1.6.0_06/bin export JAVA_HOME=/usr/local/java/jdk1.6.0_06 . /etc/profile 3. Webgoat YapılandırmasıArtık temeli kurduktan sonra Webgoat uygulamamıza geçebiliriz. Bu adresten WebGoat-OWASP_Standard-5.2.zip paketini indirebilirsiniz. İnen dosya Downloads klasöründe olacaktır. Şimdi birkaç shell kodlaması daha yapılacak: cd /home/"kullaniciAdiniz"/Downloads/ cp WebGoat-5.4-OWASP_Standard_Win32.zip /var/www/ cd /var/www/ unzip WebGoat-5.4-OWASP_Standard_Win32.zip cd WebGoat-5.4/ nano webgoat.sh nano webgoat.sh kodu girildikten sonra ekrana bir dosya içeriği yansıyacaktır. O dosya içeriğindeki çok belirgin görünen 3 adet 1.5 sayısını 1.6 yapmalısınız. Görüş açınızı daraltmak adına şunu söyleyebilirim ki bu 1.5 sayıları 17. 19. ve 23. satırlarda yer almaktadır. Bu işlemi eksiksiz yapmanız mühimdir. Aksi takdirde Webgoat uygulaması çalışmayacaktır. Bu işlemi bitirdikten sonra CTRL + X kombinasyonu ile tuşlara basın. Ardından y tuşuna basın ve Enter'layın. Ufak bir işlem daha kaldı: chmod +x webgoat.sh Yukarıdaki kodu terminale girdikten sonra artık Webgoat uygulamanız hazır durumda demektir. Denemek için aşağıdaki kodu girin: sh webgoat.sh start8080 Ekrana bir takım bilgiler akacaktır. Burada Webgoat uygulamasını göstermeden önce bir mühim noktayı söylemek istiyorum. Bu web uygulamasını kapatmak istediğinizde sakın terminalin penceresindeki çarpı işareti ile terminali kapatmaya yeltenmeyin. Bu durumda sil baştan tüm kurulum işlemlerini tekrarlamanız gerekecektir. Bunun yanısıra varolanları silmek için harcayacağınız çaba da cabası. Çünkü bu şekilde kapattığınız takdirde her Webgoat uygulamasını sh webgoat.sh start8080 kodlaması ile çalıştırmaya çalıştığınızda size ekran "Memory Leak" hatası verecektir ve uygulamayı kullanamaz olacaksınız. Dolayısıyla uygulamayı yine shell kodlaması ile kapatmalısınız. Bunu ise webgoat'u başlattığınız terminale gelip CTRL + C kombinasyonunu tuşladıktan sonra aşağıdaki kodu girerek gerçekleştirebilirsiniz. sh webgoat.sh stop Şimdi Webgoat uygulamasını tarayıcıda görüntüleyebilirsiniz. Bir web tarayıcısı açın ve şu linki girin: http://localhost:8080/WebGoat/attack Linkteki WebGoat dizinin W'su ve G'si büyük harflidir. Gözden kaçabilen bir ayrıntı olduğu için belirtmekte fayda var. Linki girdikten sonra ekrana pop-up şeklinde oturum açma penceresi gelecektir. Kullanıcı adı ve şifreye, yani ikisine de guest kelimesini girin. Artık Webgoat'u kullanmaya hazırsınız. Burada iki-üç satırlık zahmeti dokunacak bir noktaya daha değinmek istiyorum. Webgoat uygulamasını her normal şekilde kapattığınızda ve sonrasında terminali de kapattığınızda ya da bilgisayarı kapatıp açtığınızda JAVA_HOME yapılandırması sıfırlanmaktadır. Bunu sabitleyecek bir çözüm bulamadığımdan her uygulamayı başlattığımda girdiğim kodlamaları aşağıda vermiş bulunmaktayım. Eğer siz bir çözüm bulursanız ve yorum ile bilgilendirirseniz memnun olurum. Webgoat uygulamasını her başlatışımda kullandığım kodları Java_HOME ile beraber veriyorum. Bir köşeye not etmenizde fayda var. Çünkü sürekli kullanacaksınız. Webgoat'u sonraki oturumlarınızda açmak için aşağıdaki kod satırlarını sırasıyla giriniz. $echo $JAVA_HOME export PATH=$PATH:/usr/local/java/jdk1.6.0_06/bin export JAVA_HOME=/usr/local/java/jdk1.6.0_06 . /etc/profile sh webgoat.sh start8080 Sonra tarayıcı ile uygulamayı kullanmaya başlayabilirsiniz. Kapatmak için ise CTRL + C kombinasyonu tuşlandıktan sonra: sh webgoat.sh stop UYARI: Webgoat yazılımını kullanıyor olduğunuz sıralar sisteminiz bir hack girişimine karşı savunmasız durumda kalır. Dolayısıyla bu uygulamayı kullanacağınız sıralar internet bağlantınızı kesmeniz tavsiye edilir. 4. Webscarab KurulumuWebscarab, Webgoat uygulaması için kullanacağımız bir araçtır. Bu araç webgot içerisinde surf yaparken ya da herhangi bir tarayıcı ve sanal sunucu etkileşimi sırasında talebi(request'i) ya da yanıtı(response'u) kesmek, gözlemlemek ve manipule etmek için kullanılır. a) Webscarab'ı İndirmeWebscarab'ı Webgoat'un resmi sitesinde yer alan bu linkten indirebilirsiniz. İnen dosya Downloads klasörüne yerleşir. Bu dosya jar uzantılıdır. Dolayısıyla yüklemesi Windows'tan aşina olduğumuz GUI ile gerçekleşecektir.b) Webscarab'ı KurmaCTRL + ALT + T kombinasyonunu tuşlayarak terminali açın. Ardından şu komutları girin:sudo su Şifrenizi girin ve Enter'layın. Sonra aşağıdaki satırları sırasıyla girin. cd /home/"kullaniciAdiniz"/Downloads/ java -jar webscarab-installer-20070504-1631.jar Açılan yükleme penceresinden yazılımı yükleyin. c) Webscarab'ı YapılandırmaWebscarab'ın internet sayfaları ile sanal sunucu arasındaki iletişimi kesebilmesi için hem webscarab yazılımında hem de seçeceğiniz bir tarayıcıda proxy ayarlaması yapmanız gerekmektedir. Bunun için burada firefox tarayıcısı ele alınacaktır. Firefox'unuzu açın ve şu adımları izleyin:Firefox->Preferences->Advanced->Network->Connection->Settings->... Firefox->Tercihler->Gelişmiş->Ağ->Bağlantı->Ayarlar->... En son firefox'unuzda vardığınız pencereyi aşağıda resimde gördüğünüz gibi yapılandırın: Ardından Tamam deyin. Şimdi sıra Webscarab'a proxy değerlerini girmekte. Önce Webscarab'ı başlatmanız gerekir. Bunun için aşağıdaki kodları terminalinize girin(Bu kodları da bir köşeye not edin. Sürekli kullanacaksınız). cd /usr/local/WebScarab/ java -jar webscarab.jar Webscarab yazılımını başlatmış bulunmaktasınız. Şimdi webscarab'da aşağıdaki adımları izleyin: Webscarab->Tools->Proxy->... Webscarab->Araçlar->Proxy->... Açılan pencereyi aşağıdaki gibi doldurun ve Apply deyin. Hepsi bu kadar. Unutmamanız gereken bir şey var. Artık Webgoat uygulamasını çalıştırabilmek için önce Webscarab'ı açmanız gerekecektir. Çünkü proxy ayarı yapıldı. Eğer webscarab'ı açmadan webgoat'u açarsanız tarayıcıda uygulamayı görüntüleyemeyeceksiniz. Sonuça) Webgoat'u Çalıştırmaİki tane terminal penceresi açın. Birine aşağıdakileri tuşlayın(WebScarab'ı Başlatma Komutları):sudo su cd /usr/local/WebScarab/ java -jar webscarab.jar Diğerine de aşağıdakileri tuşlayın(WebGoat'u Başlatma Komutları): sudo su cd /var/www/WebGoat-5.4/ $echo $JAVA_HOME export PATH=$PATH:/usr/local/java/jdk1.6.0_06/bin export JAVA_HOME=/usr/local/java/jdk1.6.0_06 . /etc/profile sh webgoat.sh start8080 b) Webgoat'u KapatmaWebscarab'ı başlattığınız terminalin penceresinin sağ üst köşesindeki çarpıya tıklayarak kapatın. Sonra Webgoat'u çalıştırdığınız terminali seçin ve CTRL + C kombinasyonunu tuşlayın. Ardından aşağıdaki satırı o terminale girin:sh webgoat.sh stop EK: Ubuntu 14.04 LTS Üzerinde Hazır Yüklü WebGoat Yer Alan MakineBu başlık altında paylaşılacak yolla WebGoat'u kullanmak yukarıdaki kurulum işlemlerine alternatif bir isteğe bağlı seçenektir. Yukarıdaki yükleme zahmetiyle uğraşmak yerine hazırlanmış Ubuntu 14.04 LTS Linux sanal makinesini indirebilir ve VirtualBox'da açarak WebGoat'u kullanabilirsiniz. Bu şekilde WebGoat'u kullanacaksanız öncelikle belirtilen linkten ova formatındaki (uzantısındaki) sanal makineyi indiriniz. Ubuntu 14.04 LTS Linux Sanal Makinesini İndir (İçinde WebGoat Hazır) İnen ova formatındaki dosyayı Oracle Virtualbox yazılımıyla açın. Bunun için Oracle Virtualbox yazılımının File -> Import Appliance... seçeneğine gidilmelidir ve oradan ova formatındaki dosya seçilip içeri aktarılmalıdır. İçeri Aktar Seçilir Ova Formatındaki Dosyaya Gidilir Ova Formatındaki Dosya Seçilir Ova Formatındaki Dosya İçeri Aktarılır İçeri Aktar Sürer Sanal Makine Eklenir İçeri aktarılan sanal makine seçilir ve Start butonuna tıklanır. Sanal Makine Başlatılır Böylece sanal makine başlar. Sanal Makine (Web Sunucu) Başlar Makinenin oturum ekranı geldiğinde bilgiler girilir (kullanıcı adı: user, parola: password) ve ifconfig ile makinenin ip'si alınır. Oturum Bilgileri Girilir Oturum Açılır Sanal Makinenin (Web Sunucunun) IP'si Öğrenilir Böylece makineye (web sunucuya) ana makinenizden web tarayıcı ile erişerek WebGoat uygulaması kullanılabilir. ( Solda Ana Makine, Sağda Sanal Web Sunucu Makine ) ( http://IP:8080/WebGoat/attack Adresine Gidilir ) ( Kullanıcı adı: guest, parola: guest Girilir ) ( WebGoat Erişilebilirdir ) Sanal sunucu makinenin gerek duyabileceğiniz hesap bilgileri ve uygulama erişim linkleri aşağıdaki gibidir: Ubuntu Server Oturum Bilgileri ================================ user password ================================ Localhost Http Basic Auth Oturum Bilgileri ================================ http://IP admin toka ================================ Webgoat Oturum Bilgileri ================================ http://IP:8080/WebGoat/attack ( Linkteki W ve G harfleri büyük ) guest guest ================================ DVWA Oturum Bilgileri ================================ http://IP/dvwa admin password ================================ Phpmyadmin Oturum Bilgileri ================================ http://IP/phpmyadmin root password ================================ MySQL Oturum Bilgileri ================================ root password ================================ Sanal makineyi kapatırken sanal makine komut satırından sudo su // parola olarak password girilir. poweroff şeklinde kapatmaya özen gösteriniz. Bu şekilde webgoat servisleri geri dönülemez şekilde çakılmaz ve makineyi yeniden başlattığınızda webgoat sorunsuz açılabilir (çünkü kapatılırken webgoat servislerini düzenli kapatacak bir script tanımlanmıştır). Yararlanılan Kaynaklar: |
|||||
Bu yazı 15.02.2015 tarihinde, saat 00:16:52'de yazılmıştır. 22.08.2024 tarihi ve 19:54:45 saatinde ise güncellenmiştir. | |||||
|
|||||
Yorumlar |
|||||
Henüz yorum girilmemiştir. | |||||
Yorum Ekle | |||||