3/6の日記で、まんぼー(mambo)について触れた。最近流行っているこの攻撃が成功するとどうなるのか、、、先輩の調査によると、成功には Apache、PHP(脆弱なバージョン)、Mysql、Mambo(脆弱なバージョン)を入れればよいとのこと。

早速試したかったが、アプリケーションのインストールに順番があると言っているサイトや、apache から入れればよいと書いてあるサイトもあり、よく分からなかった。そんな中、パッケージを解凍するだけで Apache、PHP、Mysql、Perl などがインストール出来る素敵なパッケージがあると分かった。以下、インストールメモ。

1.下記のサイトから、自分のインストールしたい OS のパッケージをダウンロード*1
　　　http://www.apachefriends.org/en/xampp.html

2.su になる

3.下記のコマンドを実行("*" はダウンロードしたバージョン番号)
　　# tar xvfz xampp-linux-*.*.*.tar.gz -C /opt

4.下記のコマンドを実行して、起動確認
　　# /opt/lampp/lampp start
　　　Starting XAMPP for Linux 1.4.14...
　　　XAMPP: Starting Apache with SSL (and PHP5)...
　　　XAMPP: Starting MySQL...
　　　XAMPP: Starting ProFTPD...
　　　XAMPP for Linux started.

5.起動確認
　　# telent localhost 80
　　　Trying 127.0.0.1...
　　　Connected to localhost.
　　　Escape character is '^]'.

　　HEAD / HTTP/1.0

　　　HTTP/1.1 200 OK
　　　Date: Sat, 11 Mar 2006 15:32:45 GMT
　　　Server: Apache/2.0.54 (Unix) mod_ssl/2.0.54 OpenSSL/0.9.7g PHP/5.0.4 DAV/2 mod_perl/1.999.21 Perl/v5.8.6

6.検証のため、PHP4 に切り替える。
　　# /opt/lampp/lampp php4

　　　XAMPP: Activate PHP 4.3.11...
　　　XAMPP: Stopping Apache with SSL...
　　　XAMPP: Starting Apache with SSL (and PHP4)...

7.起動確認
　　# telnet localhost 80

　　　Trying 127.0.0.1...
　　　Connected to localhost.
　　　Escape character is '^]'.

　　HEAD / HTTP/1.0

　　　HTTP/1.1 200 OK
　　　Date: Sat, 11 Mar 2006 15:34:41 GMT
　　　Server: Apache/2.0.54 (Unix) mod_ssl/2.0.54 OpenSSL/0.9.7g PHP/4.3.11 DAV/2 mod_perl/1.999.21 Perl/v5.8.6

以上で、インストール終了。
アンインストールは、、、
# /opt/lampp/lampp stop
# rm -rf /opt/lampp

にて終了。
実運用にまわすのならセキュリティを意識しなくてはならないけど、検証用なので脆弱なまま放置