search

🎯SIXSS

hashtag
Где я?

Это страница с дополнительным материалом, который предназначен для помощи студентам, изучающим курс SQL Injection Master.

Для выполнения заданий в блоке SiXSS нам необходимо использовать VPS сервер и провести небольшую его настройку, установив необходимые компоненты.

Без своего сервера задания решить можно, но сделать это для новичков будет тяжело. На прошлых потоках некоторые студенты успешно использовали для сдачи заданий Ngrok вместо VDS. (Новичкам я крайне не рекомендую этот вариант!)

P.S. Этот же сервер после можно будет использовать в блоке "19. Работа с файлами заливка шелла через БД".

hashtag
Выбор VPS/VDS/ сервера

hashtag
На что смотреть и где арендовать?

В англоязычной среде понятия VPS и VDS синонимичны и означают одно и то же — сервер, запущенный в виртуальной среде. Путаница в понятиях возникла из-за перевода на русский язык и небольших отличий в тонкостях работы этих технологий.

  • VPS (Virtual Private Server) — виртуальный приватный сервер.

  • VDS (Virtual Dedicated Server) — виртуальный выделенный сервер.

В сети полно совсем недорогих предложений по аренде VDS/VPS, даже бесплатные варианты встречаются. Я пользуюсь услугами нескольких провайдеров и могу их рекомендовать (и да, это мои рефералочки 😉):

  • Timeweb arrow-up-right- Раздел "Облачные серверы", 300 в месяц (150р за сервер + 150р за внешний ip) [списание ежедневное];

    • upd 01.05.23 При регистрации по моей ссылке и оплаты сервера на месяц должны дать дополнительные 300 рублей в виде бонуса 😎

  • VDSinaarrow-up-right - Раздел "Стандартные серверы", 200 в месяц [списание ежедневное];

    • upd 01.05.23 Появилась гигантская комиссия при пополнении счёта профиля до 35%!!!! В данный момент не рекомендую данный сервис

Так же у меня есть информация по другим сервисам, предоставляющим услуги аренды VPS, которыми успешно пользовались студенты прошлых потоков. Ниже представлен их список, но подсказать по их настройке я не смогу!

  • Reg.ruarrow-up-right

  • Спринтхостarrow-up-right

  • Begetarrow-up-right - Тут на месяц предлагают взять бесплатно хостинг сайта (для целей темы "SiXSS" этот вариант подойдёт, но это не VPS/VDS и в блоках 19, 20, 21 данный вариант нам не позволит получить реверс шелл) [халява]

hashtag
Какую конфигурацию и ОС выбрать?

В качестве ОС мы рекомендуем выбирать Ubuntu или Debian. Выбираем версии ближе к актуальным на момент работы.

Мощность железа нам абсолютно не нужна. Нам подойдёт самые дешевые варианты с:

  • 1 ядро CPU;

  • 1 GB Оперативной памяти;

  • от 10GB Дискового пространства.

Вообще не имеет значение, что за сервер, лишь бы вы могли его администрировать (установить веб-сервер) и заливать свои файлы. Это может быть даже рабочий сайт, в корень которого можно закинуть файлы со скриптами.

Географическое расположение сервера тоже роли не играет, главное, чтобы до сервера доходили запросы из России.

hashtag
Настройка VPS

Переходим к настройке сервера. Первым делом вам нужно создать VPS сервер и получить от него данные.

Для этого вам нужно воспользоваться панелью администратора виртуального хоста, на котором вы можете в настройках личного кабинета выбрать любую ОС на выбор.

Мы рекомендуем выбрать Ubuntu или Debian. После установки системы вам предоставят доступ для подключения к машине по SSH.

Внимание! У вас НЕ будет графической оболочки, все действия осуществляются только через консоль!

Берём данные от нашего сервера (IP сервера, логин и пароль) и используя SSH клиент подключаемся к нему.

Для подключения из Windows можно использовать PuTTY, для подключения из Linux используем консольную программу ssh.

Далее начинаем настройку веб сервера. Для этого выполняем команды:

После этого наш веб сервер должен запуститься, и вы можете на него зайти по адресу http:/ВАШ_IP/

Далее нам необходимо загрузить в директорию /var/www/html/ все необходимые файлы, которые расположены на сайте школы рядом с методичкой.

(Доступ к файлам появится после открытия соответствующей темы согласно расписанию)

Для загрузки файлов из ОС Windows можно воспользоваться программой WinSCP.

Для загрузки файлов из Linux можно воспользоваться консольной программой scp

После загрузки файлов я рекомендую выполнить команду: chown -R www-data.www-data /var/www/html Это команда поменяет владельца загруженных файлов на пользователя www-data, от которого работает веб сервер.

Проверяем владельца файлов выполнив команду:

После выполненных операций вы можете проверить работоспособность php на вашем веб сервере.

Для этого создайте тестовый файл, выполнив следующую команду в консоли:

После этого перейдите по ссылке http:/ВАШ_IP/test.php

Если у вас отобразилась системная информация о PHP, то скрипт отработал верно и сервер успешно настроен!

P.S. Не забудьте удалить тестовый файл командой rm /var/www/html/test.php, не стоит светить информацией о версии вашего веб сервера в интернете :)

hashtag
Как проверить работоспособность php скрипта от лаборатории?

После размещения файлов из методички на вашем веб сервере вы можете вручную проверить работоспособность скрипта для записи куки в файл.

Для этого перейдите по ссылке http:/ВАШ_IP/sniff.php?cookie=testing

После этого на сервере должен появится файл sniff.txt и в нём будет новая запись.

Если файл с записью появился, значит наш php снифер работает корректно и вы можете приступать к работе с лабораторными заданиями.

Внимание! Файл sniff.txt будет создан автоматически, не надо его создавать руками!

hashtag
Заключение

Всем спасибо за внимание, надеюсь этот материал помог вам запустить свой собственный веб сервер и вы успешно выполните все задания из лаборатории!

Всем успехов! BearSec

Last updated