Penetration testing, atau sering disingkat sebagai “pentest,” adalah proses yang digunakan untuk menguji keamanan sistem, jaringan, atau aplikasi dengan cara mencoba mengeksploitasi potensi kelemahan yang ditemukan. Tujuan dari pentest adalah untuk menemukan celah keamanan sebelum penyerang yang tidak dikenal dapat mengeksploitasinya. Pentester biasanya akan menggunakan metode yang sama dengan yang digunakan oleh penyerang yang berbahaya untuk mengevaluasi keamanan sistem dan memberikan rekomendasi untuk memperbaikinya.
Untuk belajar pentest, Anda dapat membuat lingkungan virtual yang mencakup beberapa komponen berikut:
- Sistem operasi: Anda akan memerlukan beberapa sistem operasi yang berbeda, seperti Windows, Linux, dan macOS, untuk dapat belajar tentang kelemahan yang mungkin ada pada sistem operasi yang berbeda.
- Jaringan: Anda harus membuat lingkungan jaringan virtual yang mencakup beberapa server dan perangkat jaringan, seperti router, firewall, dan switch, untuk dapat belajar tentang kelemahan yang mungkin ada pada jaringan.
- Aplikasi web: Anda harus membuat lingkungan aplikasi web virtual yang mencakup beberapa aplikasi web yang berbeda, seperti CMS (content management system), e-commerce, dan forum, untuk dapat belajar tentang kelemahan yang mungkin ada pada aplikasi web.
- Tools pentest: Anda harus memiliki akses ke berbagai tools pentest yang digunakan dalam industri, seperti Nmap, Metasploit, Burp Suite, dll.
- Virtualization software: Anda akan memerlukan software virtualization seperti VirtualBox, VMware, atau Hyper-V untuk mengelola lingkungan virtual Anda.
Dalam tutorial ini saya akan membahas tentang membangun virtual lab untuk pembelajaran pentest dengan memanfaatkan VirtualBox, Kali Linux, dan DVWA (Damn Vulnerable Web Application). Masing-masing memeiliki peran sebagai berikut:
- VirtualBox menyediakan sarana virtualisasi untuk OS maupun jaringan, sehingga lingkungan pentest akan lebih terkontrol dan terisolasi.
- Kali Linux merupakan tools yang akan digunakan oleh attacker.
- DVWA berperan sebagai target serangan.
Dari peran yang telah disebutkan, diperlukan 2 OS dalam VirtualBox. Langkah untuk membangun virtual lab adalah sebagai berikut :
Pengaturan NAT Network pada VirtualBox
Atur NAT Network supaya jaringan yang digunakan itu jaringan privat dan tidak mengganggu jaringan lain. Caranya, buka menu File > Tools > Networks Manager > Tab NAT Network.
Tentang NAT Network pada VirtualBox lebih lengkapnya ada di artikel ini.
Instalasi Kali Linux
- Download kali dari situs resminya di sini. Pilih jenis varian VirtualBox 64-bit.
- Extract file Kali Linux yang sudah di-download. Buka dengan cara double klik pada file dengan ekstensi .vbox
- Pilih VM Kali Linux, klik Settings > Networks, pada Adapter 1 bagian “Attached to” pilih NAT Network.
- Start VM, login dengan username dan password : kali.
- Cek IP yang didapat.
Ketika Kali Linux sudah mendapatkan IP dari NAT Network, berarti Kali sudah siap digunakan.
Instalasi DVWA pada Ubuntu.
- Download Ubuntu 22.04 ISO image di situs resmi.
- Create New, ketik nama VM, pilih jenis OS yang digunakan, dan pilih file .iso yang akan digunakan untuk instalasi.
- Tentukan resource yang dibutuhkan yaitu 2 Core CPU dan 2GB RAM.
- Buat storage untuk VM.
- Pilih VM Ubuntu, klik Settings > Networks, pada Adapter 1 bagian “Attached to” pilih NAT Network.
- Ikuti langkah instalasi Ubuntu 22.04 pada VirtualBox di sini.
- Setelah Ubuntu siap, waktunya instalasi DVWA, dimulai dengan instal packages dependency yang dibutuhkan.
sudo apt update && sudo apt upgrade
sudo apt install -y apache2 mariadb-server mariadb-client php php-mysqli php-gd libapache2-mod-php
- Git clone aplikasi DVWA pada /var/www/html.
cd /var/www/html
sudo git clone https://github.com/digininja/DVWA.git
- Fix directory owner dan permission.
sudo chown -R www-data:www-data /var/www/html/dvwa
sudo chmod 755 /var/www/html/dvwa
- Buat database dan database user untuk dvwa.
sudo mysql -u root -p
CREATE DATABASE dvwa;
CREATE USER dvwa IDENTIFIED BY 'p@ssw0rd';
GRANT ALL PRIVILEGES ON dvwa.* TO 'dvwa'@'localhost' IDENTIFIED BY 'p@ssw0rd';
FLUSH PRIVILEGES;
- Ubah file config supaya bisa dibaca oleh aplikasi.
cd /var/www/html/dvwa/config
sudo cp config.inc.php.dist config.inc.php
sudo nano config.inc.php
$_DVWA = array();
$_DVWA[ 'db_server' ] = '127.0.0.1';
$_DVWA[ 'db_database' ] = 'dvwa';
$_DVWA[ 'db_user' ] = 'dvwa';
$_DVWA[ 'db_password' ] = 'p@ssw0rd';
$_DVWA[ 'db_port'] = '3306';
- Cek lagi IP Address Ubuntu.
- Buka aplikasi dvwa melalui web browser pada Kali Linux.
Virtual Lab untuk belajar pentest sudah siap dan bisa digunakan. Hal penting yang harus diperhatikan ketika belajar pentest adalah ingatlah untuk selalu memastikan bahwa Anda memiliki izin yang diperlukan dan melakukan pentest pada sistem yang diizinkan saja, jangan melakukan pentest pada sistem yang tidak diizinkan karena dapat merugikan orang lain atau melanggar hukum. Selamat ngoprek.