Martes, 16 de Febrero de 2021: Configuración de un servidor web en OpenBSD

Una de las cosas más útiles que me he encontrado en el bug bounty hunting, es el poder tener un servidor web ligero para hacer pruebas para explotar ciertos tipos de XSRF y XSS; y seguramente algún otro ataque de phishing o algo así.

Montar algo así usando los ports de OpenBSD es súper fácil:

Primero, hay que instalar todos los paquetes:

# pkg_add php php-cgi fcgi php-curl php-mysqli php-zip mariadb-server mariadb-client
# pkg_add wget unzip

Y… (¿qué?, yo no soy friki)

# pkg_add wget unzip

Luego hay que configurar PHP

# nano /etc/php-fpm.d/www.conf

; Simple config: start a pool with name www, listen on a unix socket,
; and chroot to /var/www
user = www
group = www

;listen = 127.0.0.1:9000
listen = /var/www/run/php-fpm.sock
listen.owner = www
listen.group = www
listen.mode = 0660

;listen.allowed_clients = 127.0.0.1

pm = dynamic
pm.max_children = 50
pm.start_servers = 5
pm.min_spare_servers = 5
pm.max_spare_servers = 35
chroot = /var/www

Y arrancamos:

# rcctl start php74_fpm

En este caso yo instalé PHP 7.4, puede que ustedes tengan que modificar la versión. Aquí podríamos usar «enable» para configurar que el servidor arranque cada ocasión que inicie el sistema, pero; en mi caso no lo necesito, sólo cuando necesito hacer ciertos ataques.

OpenBSD tiene un servidor web chiquito, muy ligero; que para este tipo de ataques, no se necesita nada más. Así que vamos a usar este… no uses Apache, para un formulario está sobrado.

# nano /etc/httpd.conf

types { include «/usr/share/misc/mime.types» }

server "default" {
listen on egress port 80
root "/wordpress"
directory index index.php

location "*.php*" {
        fastcgi socket "/run/php-fpm.sock"
}

}

Y arrancamos…

# rcctl start httpd

Igual, aquí podemos usar «enable» para que inicie al arrancar, pero nah, no lo necesitamos.

# mysql_install_db

# rcctl start mysqld

# mysql_secure_installation

Te va a lanzar un wizard con algunas preguntas sobre aseguramiento, configuración de root y conexión, igual, aquí selecciona algo sencillo. ¡Ojo!, esto lo hagas si tu servidor al mismo tiempo algo productivo; en mi caso es totalmente un servidor que uso para pruebas.

Y listo, también puedes usar «enable» aquí, pero yo no lo usaré. Abre un navegador y verifica que funciona el servicio:

Sensishito…. para aquellos que creen que manejar OpenBSD es complejo, ¡nah!, es sencillo, aléjense de los linuxeros.. ¡yiuck!

😘

0 comentarios en “Martes, 16 de Febrero de 2021: Configuración de un servidor web en OpenBSDAñade los tuyos →

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *