Статья

«Арсенал» белой шляпы на MacBook: как развернуть полигон для пентестинга за минуту с помощью ServBay

image.png
Привет всем техническим энтузиастам! Ваша хардкорная старшая сестра снова в эфире, чтобы поделиться знаниями.
Мой дипломный проект посвящен веб-безопасности, и в последнее время я занимаюсь настройкой локальных полигонов. Пока мои однокурсники ломают голову над ошибками виртуальных машин и проблемами с сетью Docker, на моем MacBook уже собралась целая «оружейная палата» классических уязвимых приложений, таких как DVWA, Sqli-labs и Pikachu, и все они готовы к работе.
Не поймите меня неправильно, я тоже наступала на грабли, и, поверьте, не меньше других. Я прошла через все «три великие горы» настройки полигонов:

  • Виртуальные машины (VMware/Parallels): Черные дыры производительности. Взлетающий вентилятор — это только начало, настоящая беда — это зависающий компьютер и мгновенно разряжающаяся батарея. Запускать полигон ценой полной загрузки основной рабочей машины? Это слишком низкий уровень.
    截屏2025-06-07 23.15.47.png

  • Docker: Король в теории, «отбивающий желание» на практике. Для новичков, которые хотят быстро проверить уязвимость, понимание Dockerfile, volume и port mapping — это умственная нагрузка потяжелее самой цели.
    截屏2025-06-07 23.16.18.png

  • Ручная компиляция (LAMP/LNMP): Это настоящий «адский режим». Пытаться запустить устаревший полигон, совместимый только с PHP 5.x, ковыряясь в давно забытых macOS модулях Apache и различных зависимостях? Поверьте, ваше время и ваши волосы слишком ценны.

Как раз когда я уже была готова сдаться и использовать старый лабораторный сервер, меня осенило: ServBay, который я постоянно использую для веб-разработки, разве это не хорошо управляемый и мощный локальный серверный комплект? Если я могу использовать его для курсовых проектов и фриланса, то размещение нескольких PHP-приложений для тестирования безопасности — это же полный разгром!
俄语.png
Как только эта мысль пришла мне в голову, все стало кристально ясно. В результате развертывание первого полигона (DVWA) заняло у меня около минуты. Нет, 58 секунд.
💥 Почему ServBay — это «золотой стандарт» для создания локальных полигонов безопасности?

  1. Мгновенное переключение окружения, поддержка всех полигонов: Самая большая боль решена. Некоторые полигоны устарели и работают только с PHP 5.x; другие требуют более новых версий. В панели ServBay переключение версий — это просто выпадающее меню, применяется мгновенно. ^^ Больше не нужно устанавливать кучу инструментов из-за проблем с совместимостью.

  2. «Зоопарк полигонов» работает одновременно и независимо: Хотите запустить DVWA, bWAPP и Pikachu одновременно? Легко. В ServBay каждый полигон — это отдельный Host, который можно настроить с собственным доменом и версией PHP. ^^ Они не мешают друг другу и аккуратно размещаются в вашем «арсенале», готовые к использованию в любой момент.

  3. «Тупое» управление базами данных: Для инициализации полигона нужна база данных? ServBay включает MySQL/MariaDB с запуском и остановкой в один клик. ^^ А также поставляется с phpMyAdmin для импорта .sql файлов, просмотра данных и сброса полигона — все через понятный графический интерфейс. ^^

  4. Нативная производительность, бережное отношение к ресурсам: Как нативное приложение macOS^^, ServBay намного легче виртуальных машин. Мой старенький MacBook Pro одновременно запускает три полигона, Burp Suite и кучу вкладок с исследованиями, и все работает плавно.


Практические заметки: Быстрое развертывание DVWA за 58 секунд

Хотите повторить мои действия? Следуйте инструкциям:

  1. Подготовьте боеприпасы:

    • В Services ServBay убедитесь, что MySQL (или MariaDB) загружен и активирован.
      1.jpg
    • Загрузите исходный код DVWA с GitHub и распакуйте его.
  2. Настройте базу данных:

    • Перейдите в браузере по адресу servbay.host, щелкните phpMyAdmin и войдите, используя учетные данные MySQL по умолчанию, отображаемые в панели ServBay.
    • Создайте новую базу данных с именем dvwa.
  3. Разверните полигон:

    • Перетащите всю распакованную папку с исходным кодом DVWA в каталог ~/ServBay/www/.
    • Откройте панель ServBay, нажмите Websites -> кнопку +.
      • Name: Полигон DVWA (можете написать что угодно)
      • Domains: dvwa.test (он автоматически настроит hosts, очень удобно)
      • Root Directory: Выберите папку dvwa, которую вы только что переместили.
        2.jpg
    • Найдите и переименуйте config/config.inc.php.dist в исходном коде DVWA в config.inc.php. Откройте его и обновите учетные данные базы данных в соответствии с вашей конфигурацией Servbay.
  4. Установка и в бой:

    • Перейдите в браузере по адресу http://dvwa.test. Вы увидите страницу установки DVWA.
    • Нажмите кнопку «Create / Reset Database» внизу страницы.
    • Готово! Войдите с учетными данными по умолчанию: admin и password.
      3.jpg

Наслаждайтесь поиском уязвимостей!
4.jpg


Для вас, технические энтузиасты:
Хватит тратить свое время и энтузиазм на такие рутинные задачи, как настройка окружения. Независимо от того, готовитесь ли вы к соревнованиям CTF или систематически изучаете веб-безопасность, эффективный локальный «тренировочный зал» — ключ к успеху.
Servbay () дает нам выбор: тратить время на исследование уязвимостей и получение шеллов, а не на борьбу с файлами конфигурации и зависимостями. Это чувство действительно потрясающее!
Попробуйте и возвращайтесь, чтобы рассказать о своих успехах. Или поделитесь в комментариях другими интересными полигонами из вашего «арсенала»!

2 Ответа

  1. Ознакомился с DVWA, не знал ранее. Интересная информация!

    1. Я тоже новичок в этом деле. Раньше я находил другие руководства немного сложными, но мне было легко развернуть их с помощью этого инструмента.