Ubuntu 14.04 LTS Linux'a Webgoat Kurulumu
Bu yazı Webgoat web uygulamasının bir linux işletim sistemi olan Ubuntu 14.04 LTS üzerinden kurulumunu konu edinmektedir. Windows işletim sistemi için kurulum yapmak isteyenler bu adresten gerekli talimatları alarak kurulumlarını gerçekleştirebilirler. Bu yazıda geçen kurulum aşamaları muhtemelen tüm linux sürümleri için işlevseldir. Çünkü yüklemeler ve yapılandırmalar linux'un shell kodlamaları ile yapılmaktadır.



Linux için kurulum aşamaları şunlardan ibarettir:

  1. JDK 1.6 Kurulumu
  2. JAVA_HOME Yapılandırması
  3. Webgoat Yapılandırması
  4. Webscarab Kurulumu


Kurulumla uğraşmak istenilmezse alternatif olarak hazır WebGoat kurulu sanal makina seçeneği kullanılabilir. Bu çözüm makalenin sonunda alternatif olarak yer alacaktır.

  1. EK: Ubuntu 14.04 LTS Üzerinde Hazır Yüklü WebGoat Yer Alan Makine




1. JDK 1.6 Kurulumu


Oracle tar.gz uzantılı hem 32 bitlik sisteme hem Webgoat'a ve hem de Webscarab'a uyumlu jdk paketi sunmadığından dolayı linux kurulumunda sadece 64 bitlik sistemler ele alınacaktır.

a) OpenJDK Kontrolü

İlk olarak sisteminizde bir openjdk paketi yüklü mü değil mi onu kontrol etmeniz gerekir. Bunun için CTRL + ALT + T kombinasyonu ile terminali açın. Aşağıdaki kodu girin: (Aşağıdaki kodları kopyalayıp terminale yapıştırmak istediğiniz takdirde CTRL + SHIFT + V kombinasyonu ile bu işlemi yapabilirsiniz. CTRL + V kombinasyonu işe yaramayacaktır. Linux'a yabancılara duyurulur.)
java -version

Eğer terminalde kod sonrası çıkan bilgilendirme notunda openJDK anahtar kelimesini görürseniz bu java sürümünden kurtulmanız gerekir ve Oracle'ın jdk'sını yüklemeniz gerekir. openJDK'dan kurtulmak için:
sudo apt-get purge openjdk-*
satırını terminale girin ve ardından oturum şifrenizi girip Enter'layın. Sonra y harfine basıp tekrar Enter'layın. Artık openJDK'dan kurtulmuş bulunmaktasınız. Eğer openJDK anahtar kelimesini görmezseniz bu adımı atlayınız.

b) JDK Paketini Yükleme

Önce terminalinize root izni vermeniz her satırı girdiğinizde şifre sorma zahmetinden sizi kurtaracağından akıllıcadır. Dolayısıyla aşağıdaki satırı terminale girin.
sudo su

Sonra şifrenizi tuşlayın ve Enter'layın. Bu aşamada JDK 1.6 paketini indirmeniz gerekli. jdk-6u6-p-linux-x64.tar.gz paketini oracle'ın resmi sitesi olan bu adresten indirebilirsiniz. İndirme işlemini oracle'ın sitesinden lisans anlaşmasını "Accept" demek gibi ve üye olmak gibi prosedürlerden sonra yapabilirsiniz. İndirme işlemi sonrası Downloads klasörünüze inmiş bulunan tar.gz uzantılı paket için aşağıdaki kodlamalar ile bazı işlemler yapılacaktır. Aşağıdaki kodları satır satır olmak kaydıyla sırasıyla terminale giriniz:
mkdir -p /usr/local/java
cd /home/"your_user_name"/Downloads
cp -r jdk-6u6-p-linux-x64.tar.gz /usr/local/java
cd /usr/local/java
chmod a+x jdk-6u6-p-linux-x64.tar.gz
tar xvzf jdk-6u6-p-linux-x64.tar.gz

Buraya kadar tar.gz uzantılı dosyayı /usr/local/java/ klasörüne kopyalamış olduk. Şimdi sırada bir yapılandırma ayarı var. Terminale aşağıdaki satırı girin:
nano /etc/profile

Ardından terminal ekranında görüntülenen kodların en aşağısına yön tuşları ile inin ve aşağıdaki kodları kopyala yapıştır yordamıyla ekleyin.
JAVA_HOME=/usr/local/java/jdk1.6.0_06
PATH=$PATH:$HOME/bin:$JAVA_HOME/bin
export JAVA_HOME
export PATH

Yapıştırdıktan sonra CTRL + X kombinasyonuna tıklayın. Ardından 'Y' tuşuna tıklayın ve Enter'layın.

c) Linux Sistemini Yüklü JDK Konusunda Bilgilendirme

Bu aşama Linux sisteminize Oracle JDK'sının kullanım için mevcut olduğu konusunda bilgilendirir. Aşağıdaki satırları sırasıyla giriniz.
update-alternatives --install "/usr/bin/java" "java" "/usr/local/java/jdk1.6.0_06/bin/java" 1
update-alternatives --install "/usr/bin/javac" "javac" "/usr/local/java/jdk1.6.0_06/bin/javac" 1
update-alternatives --install "/usr/bin/javaws" "javaws" "/usr/local/java/jdk1.6.0_06/bin/javaws" 1

Eğer yukarıdaki son satırı girdiğinizde anormal bir bilgilendirmeyle karşılaştıysanız endişelenmeyin. Diğer aşamaya geçebilirsiniz.

d) Oracle JDK'sının Sistemin Varsayılan JDK'sı Olacağı Yönünde Linux'u Bilgilendirme

Sırasıyla aşağıdaki kodları terminale girin:
update-alternatives --set java /usr/local/java/jdk1.6.0_06/bin/java
update-alternatives --set javac /usr/local/java/jdk1.6.0_06/bin/javac
update-alternatives --set javaws /usr/local/java/jdk1.6.0_06/bin/javaws

Ardından şu komutu girin:
. /etc/profile

Evet, buraya kadar sorunsuz gelmişseniz JDK'nız düzgün yapılandırılmış demektir. Bunu ise şu şekilde anlarsınız:
java -version

Yukarıdaki komutu terminale girdiğinizde aşağıdaki gibi bir bildirim ekranıyla karşılaşmıssanız buraya kadarki işlemler sorunsuz tamamlanmış demektir. Bilgisayarınızı JDK aşamasını bitirdikten sonra yeniden başlatın ve sonraki adımlara geçin.

Java version "jdk1.6.0_06"
Java(TM) SE Runtime Environment (build jdk1.6.0_06-b25)
Java HotSpot(TM) Server VM (build 23.1-b03, mixed mode)


Eğer karşılaşmadıysanız bir sorun var demektir. Bu durumda yorum ekleyerek durumunuzu bana bildirebilirsiniz.



2. JAVA_HOME Yapılandırması


Webgoat çalışabilmek için JAVA_HOME yapılandırmasına ihtiyaç duyar. Bunun için aşağıdaki komutları sırasıyla terminalinize girin:
$echo $JAVA_HOME 
export PATH=$PATH:/usr/local/java/jdk1.6.0_06/bin 
export JAVA_HOME=/usr/local/java/jdk1.6.0_06
. /etc/profile




3. Webgoat Yapılandırması


Artık temeli kurduktan sonra Webgoat uygulamamıza geçebiliriz. Bu adresten WebGoat-OWASP_Standard-5.2.zip paketini indirebilirsiniz. İnen dosya Downloads klasöründe olacaktır. Şimdi birkaç shell kodlaması daha yapılacak:
cd /home/"kullaniciAdiniz"/Downloads/
cp WebGoat-5.4-OWASP_Standard_Win32.zip /var/www/
cd /var/www/
unzip WebGoat-5.4-OWASP_Standard_Win32.zip
cd WebGoat-5.4/
nano webgoat.sh

nano webgoat.sh kodu girildikten sonra ekrana bir dosya içeriği yansıyacaktır. O dosya içeriğindeki çok belirgin görünen 3 adet 1.5 sayısını 1.6 yapmalısınız. Görüş açınızı daraltmak adına şunu söyleyebilirim ki bu 1.5 sayıları 17. 19. ve 23. satırlarda yer almaktadır. Bu işlemi eksiksiz yapmanız mühimdir. Aksi takdirde Webgoat uygulaması çalışmayacaktır. Bu işlemi bitirdikten sonra CTRL + X kombinasyonu ile tuşlara basın. Ardından y tuşuna basın ve Enter'layın. Ufak bir işlem daha kaldı:
chmod +x webgoat.sh

Yukarıdaki kodu terminale girdikten sonra artık Webgoat uygulamanız hazır durumda demektir. Denemek için aşağıdaki kodu girin:
sh webgoat.sh start8080

Ekrana bir takım bilgiler akacaktır. Burada Webgoat uygulamasını göstermeden önce bir mühim noktayı söylemek istiyorum. Bu web uygulamasını kapatmak istediğinizde sakın terminalin penceresindeki çarpı işareti ile terminali kapatmaya yeltenmeyin. Bu durumda sil baştan tüm kurulum işlemlerini tekrarlamanız gerekecektir. Bunun yanısıra varolanları silmek için harcayacağınız çaba da cabası. Çünkü bu şekilde kapattığınız takdirde her Webgoat uygulamasını sh webgoat.sh start8080 kodlaması ile çalıştırmaya çalıştığınızda size ekran "Memory Leak" hatası verecektir ve uygulamayı kullanamaz olacaksınız. Dolayısıyla uygulamayı yine shell kodlaması ile kapatmalısınız. Bunu ise webgoat'u başlattığınız terminale gelip CTRL + C kombinasyonunu tuşladıktan sonra aşağıdaki kodu girerek gerçekleştirebilirsiniz.
sh webgoat.sh stop

Şimdi Webgoat uygulamasını tarayıcıda görüntüleyebilirsiniz. Bir web tarayıcısı açın ve şu linki girin:

http://localhost:8080/WebGoat/attack

Linkteki WebGoat dizinin W'su ve G'si büyük harflidir. Gözden kaçabilen bir ayrıntı olduğu için belirtmekte fayda var. Linki girdikten sonra ekrana pop-up şeklinde oturum açma penceresi gelecektir. Kullanıcı adı ve şifreye, yani ikisine de guest kelimesini girin. Artık Webgoat'u kullanmaya hazırsınız.

Burada iki-üç satırlık zahmeti dokunacak bir noktaya daha değinmek istiyorum. Webgoat uygulamasını her normal şekilde kapattığınızda ve sonrasında terminali de kapattığınızda ya da bilgisayarı kapatıp açtığınızda JAVA_HOME yapılandırması sıfırlanmaktadır. Bunu sabitleyecek bir çözüm bulamadığımdan her uygulamayı başlattığımda girdiğim kodlamaları aşağıda vermiş bulunmaktayım. Eğer siz bir çözüm bulursanız ve yorum ile bilgilendirirseniz memnun olurum. Webgoat uygulamasını her başlatışımda kullandığım kodları Java_HOME ile beraber veriyorum. Bir köşeye not etmenizde fayda var. Çünkü sürekli kullanacaksınız. Webgoat'u sonraki oturumlarınızda açmak için aşağıdaki kod satırlarını sırasıyla giriniz.
$echo $JAVA_HOME 
export PATH=$PATH:/usr/local/java/jdk1.6.0_06/bin 
export JAVA_HOME=/usr/local/java/jdk1.6.0_06
. /etc/profile	
sh webgoat.sh start8080

Sonra tarayıcı ile uygulamayı kullanmaya başlayabilirsiniz. Kapatmak için ise CTRL + C kombinasyonu tuşlandıktan sonra:
sh webgoat.sh stop

UYARI: Webgoat yazılımını kullanıyor olduğunuz sıralar sisteminiz bir hack girişimine karşı savunmasız durumda kalır. Dolayısıyla bu uygulamayı kullanacağınız sıralar internet bağlantınızı kesmeniz tavsiye edilir.



4. Webscarab Kurulumu


Webscarab, Webgoat uygulaması için kullanacağımız bir araçtır. Bu araç webgot içerisinde surf yaparken ya da herhangi bir tarayıcı ve sanal sunucu etkileşimi sırasında talebi(request'i) ya da yanıtı(response'u) kesmek, gözlemlemek ve manipule etmek için kullanılır.

a) Webscarab'ı İndirme

Webscarab'ı Webgoat'un resmi sitesinde yer alan bu linkten indirebilirsiniz. İnen dosya Downloads klasörüne yerleşir. Bu dosya jar uzantılıdır. Dolayısıyla yüklemesi Windows'tan aşina olduğumuz GUI ile gerçekleşecektir.

b) Webscarab'ı Kurma

CTRL + ALT + T kombinasyonunu tuşlayarak terminali açın. Ardından şu komutları girin:
sudo su

Şifrenizi girin ve Enter'layın. Sonra aşağıdaki satırları sırasıyla girin.
cd /home/"kullaniciAdiniz"/Downloads/
java -jar webscarab-installer-20070504-1631.jar

Açılan yükleme penceresinden yazılımı yükleyin.

c) Webscarab'ı Yapılandırma

Webscarab'ın internet sayfaları ile sanal sunucu arasındaki iletişimi kesebilmesi için hem webscarab yazılımında hem de seçeceğiniz bir tarayıcıda proxy ayarlaması yapmanız gerekmektedir. Bunun için burada firefox tarayıcısı ele alınacaktır. Firefox'unuzu açın ve şu adımları izleyin:

Firefox->Preferences->Advanced->Network->Connection->Settings->...
Firefox->Tercihler->Gelişmiş->Ağ->Bağlantı->Ayarlar->...


En son firefox'unuzda vardığınız pencereyi aşağıda resimde gördüğünüz gibi yapılandırın:



Ardından Tamam deyin. Şimdi sıra Webscarab'a proxy değerlerini girmekte. Önce Webscarab'ı başlatmanız gerekir. Bunun için aşağıdaki kodları terminalinize girin(Bu kodları da bir köşeye not edin. Sürekli kullanacaksınız).
cd /usr/local/WebScarab/
java -jar webscarab.jar

Webscarab yazılımını başlatmış bulunmaktasınız. Şimdi webscarab'da aşağıdaki adımları izleyin:

Webscarab->Tools->Proxy->...
Webscarab->Araçlar->Proxy->...


Açılan pencereyi aşağıdaki gibi doldurun ve Apply deyin.



Hepsi bu kadar. Unutmamanız gereken bir şey var. Artık Webgoat uygulamasını çalıştırabilmek için önce Webscarab'ı açmanız gerekecektir. Çünkü proxy ayarı yapıldı. Eğer webscarab'ı açmadan webgoat'u açarsanız tarayıcıda uygulamayı görüntüleyemeyeceksiniz.



Sonuç


a) Webgoat'u Çalıştırma

İki tane terminal penceresi açın. Birine aşağıdakileri tuşlayın(WebScarab'ı Başlatma Komutları):
sudo su
cd /usr/local/WebScarab/
java -jar webscarab.jar


Diğerine de aşağıdakileri tuşlayın(WebGoat'u Başlatma Komutları):
sudo su
cd /var/www/WebGoat-5.4/
$echo $JAVA_HOME 
export PATH=$PATH:/usr/local/java/jdk1.6.0_06/bin 
export JAVA_HOME=/usr/local/java/jdk1.6.0_06
. /etc/profile	
sh webgoat.sh start8080


b) Webgoat'u Kapatma

Webscarab'ı başlattığınız terminalin penceresinin sağ üst köşesindeki çarpıya tıklayarak kapatın. Sonra Webgoat'u çalıştırdığınız terminali seçin ve CTRL + C kombinasyonunu tuşlayın. Ardından aşağıdaki satırı o terminale girin:
sh webgoat.sh stop


EK: Ubuntu 14.04 LTS Üzerinde Hazır Yüklü WebGoat Yer Alan Makine


Bu başlık altında paylaşılacak yolla WebGoat'u kullanmak yukarıdaki kurulum işlemlerine alternatif bir isteğe bağlı seçenektir. Yukarıdaki yükleme zahmetiyle uğraşmak yerine hazırlanmış Ubuntu 14.04 LTS Linux sanal makinesini indirebilir ve VirtualBox'da açarak WebGoat'u kullanabilirsiniz.

Bu şekilde WebGoat'u kullanacaksanız öncelikle belirtilen linkten ova formatındaki (uzantısındaki) sanal makineyi indiriniz.

Ubuntu 14.04 LTS Linux Sanal Makinesini İndir (İçinde WebGoat Hazır)

İnen ova formatındaki dosyayı Oracle Virtualbox yazılımıyla açın. Bunun için Oracle Virtualbox yazılımının File -> Import Appliance... seçeneğine gidilmelidir ve oradan ova formatındaki dosya seçilip içeri aktarılmalıdır.


İçeri Aktar Seçilir



Ova Formatındaki Dosyaya Gidilir



Ova Formatındaki Dosya Seçilir



Ova Formatındaki Dosya İçeri Aktarılır



İçeri Aktar Sürer



Sanal Makine Eklenir


İçeri aktarılan sanal makine seçilir ve Start butonuna tıklanır.


Sanal Makine Başlatılır


Böylece sanal makine başlar.


Sanal Makine (Web Sunucu) Başlar


Makinenin oturum ekranı geldiğinde bilgiler girilir (kullanıcı adı: user, parola: password) ve ifconfig ile makinenin ip'si alınır.




Oturum Bilgileri Girilir



Oturum Açılır



Sanal Makinenin (Web Sunucunun) IP'si Öğrenilir


Böylece makineye (web sunucuya) ana makinenizden web tarayıcı ile erişerek WebGoat uygulaması kullanılabilir.




( Solda Ana Makine, Sağda Sanal Web Sunucu Makine )







( http://IP:8080/WebGoat/attack Adresine Gidilir )







( Kullanıcı adı: guest, parola: guest Girilir )



( WebGoat Erişilebilirdir )




Sanal sunucu makinenin gerek duyabileceğiniz hesap bilgileri ve uygulama erişim linkleri aşağıdaki gibidir:

Ubuntu Server Oturum Bilgileri
================================
user
password
================================


Localhost Http Basic Auth Oturum Bilgileri
================================
http://IP
admin
toka
================================


Webgoat Oturum Bilgileri
================================
http://IP:8080/WebGoat/attack
( Linkteki W ve G harfleri büyük )
guest
guest
================================


DVWA Oturum Bilgileri
================================
http://IP/dvwa
admin
password
================================


Phpmyadmin Oturum Bilgileri
================================
http://IP/phpmyadmin
root
password
================================


MySQL Oturum Bilgileri
================================
root
password
================================



Sanal makineyi kapatırken sanal makine komut satırından

sudo su                         // parola olarak password girilir.
poweroff

şeklinde kapatmaya özen gösteriniz. Bu şekilde webgoat servisleri geri dönülemez şekilde çakılmaz ve makineyi yeniden başlattığınızda webgoat sorunsuz açılabilir (çünkü kapatılırken webgoat servislerini düzenli kapatacak bir script tanımlanmıştır).

Yararlanılan Kaynaklar:

Bu yazı 15.02.2015 tarihinde, saat 00:16:52'de yazılmıştır. 22.08.2024 tarihi ve 19:54:45 saatinde ise güncellenmiştir.
Yazar : Hasan Fatih ŞİMŞEK Görüntülenme Sayısı : 3548
Yorumlar
Henüz yorum girilmemiştir.
Yorum Ekle
*
* (E-posta adresiniz yayınlanmayacaktır.)
*
*

#Arşiv


#Giriş

ID :
Şifre :