bWAPP를 사용할 때에는 웹 애플리케이션인 bWAPP을 해당 호스트에 설치하는 방법과 비박스를 가상환경에 설치하여 미리 설치된 bWAPP을 사용하는 방법이 있다.
bWAPP 홈페이지 : http://www.itsecgames.com/
1. 해당 호스트에 설치하는 경우
호스트에 설치하려는 경우에는, bWAPP 소스 코드를 다운받아 WAMP 나 XAMPP에 설치하여 운영 할 수 있다.
1) bWAPP 다운로드
https://sourceforge.net/projects/bwapp/files/bWAPP/bWAPP_latest.zip/download
2) WAMP 다운로드 및 설치
WAMP Server 는 APM 환경 웹 애플리케이션을 개발할 수 있는 윈도우 플랫폼이다.
정상적으로 설치되었다면 브라우저에 localhost를 입력했을때 다음과 같은 화면을 볼 수 있다.
간혹 MSVCR110.dll가 없어 프로그램을 시작 할 수 없다고 나올 때가 있는데 그럴때는 VC 2012 버전을 설치하면 된다. (아래 URL 참고)
- https://www.samsungsvc.co.kr/online/faqView.do?domainId=&node_Id=NODE0000124880&faqId=KNOW0000030976
기존 설정을 지우고 xampp 를 사용해서 설치하기로 했다.
- https://dunnesec.com/2014/10/01/bwapp-bee-bug-installation/
- https://www.youtube.com/watch?v=LAtoePj80EM -> 여기 동영상 보면서 해결했다.
3) Database 연결정보 설정
www/bWAPP/admin/setting.php 파일을 에디터로 열어 자신의 DB 연결 정보에 맞게 DB 연결 정보를 수정한다. 설치 시 디폴트 설정으로 했다면 수정할 필요가 없다.
4) 로그인
로그인 페이지(http://localhost/bWAPP/login.php)로 이동하여 디폴트 계정(bee/bug) 을 입력하여 로그인 한다. 로그인 할때 security level 을 설정하여 로그인 할 수 있다.
2. bee-box 가상 이미지를 이용한 bWAPP 운용
bee-box를 사용할 때에는 가상머신에 비박스 환경을 만들기 위하여 VM 웨어나 버추얼박스로 비박스를 설치하여야 한다.
1) bee-box 다운로드 (bee-box_v1.6.7z)
bee-box 다운로드: http://sourceforge.net/projects/bwapp/files/bee-box/
2) 공격자 단말에서 칼리 리눅스와 윈도우 환경을 이용하고 대상 가상환경으로 비박스를 선택하였다. 가상머신은 비주얼박스를 이용하였다.
참고
- bWAPP을 활용한 모의해킹 테스트 (https://www.slideshare.net/MalikMesellem/sans-2015-superbees-wanted?ref=https%3A%2F%2Fwww.slideshare.net%2Fslideshow%2Fembed_code%2F47129965)
- 비박스 환경을 이용한 bWAPP 취약점 점검
- http://preview.hanbit.co.kr/2841/sample_ebook.pdf
- https://m.blog.naver.com/taeyoun795/220570721472
- 저서, 비박스 환경을 활용한 웹 모의해킹 완벽 실습
