DEV Community: 𝔫𝔢𝔱𝔯𝔲𝔫𝔫𝔢𝔯

Montando um laboratório de Pentest com um celular Android e Kali Linux

𝔫𝔢𝔱𝔯𝔲𝔫𝔫𝔢𝔯 — Thu, 20 Mar 2025 23:42:11 +0000

Olá, mundo – programadores, experimentadores e os curiosos: este artigo foi escrito para vocês. Sem mais delongas, este artigo vai guiá-los passo a passo na construção de um laboratório de pentest para o OWASP Top 10 usando um celular Android e Kali Linux (embora você possa escolher qualquer sistema operacional que desejar; não abordarei as alternativas aqui).

Mas antes, algumas apresentações. Meu nome é Lucas, sou desenvolvedor de software e entusiasta de segurança cibernética, baseado no Brasil. É basicamente isso. Vamos mergulhar um pouco na teoria e na prática, certo?

O que é o OWASP Top 10?

O OWASP Top 10 é uma lista publicada pelo Open Web Application Security Project (OWASP), uma organização sem fins lucrativos focada em melhorar a segurança do software. Ela identifica os dez riscos de segurança mais críticos para aplicações web, com base em dados de vulnerabilidades reais e contribuições de especialistas em segurança. A lista é atualizada periodicamente — normalmente a cada poucos anos — para refletir as ameaças em evolução. A versão oficial mais recente é de 2021, mas uma atualização para 2025 está em andamento e deve ser lançada na primeira metade de 2025, de acordo com o cronograma anunciado pela OWASP. Você pode saber mais acessando o site da OWASP Foundation.

Por que um celular Android?

Porque podemos. Você pode ter seus próprios motivos para isso, como possuir um PC de baixo custo, querer uma aplicação móvel que caiba no bolso ou até mesmo usar um notebook em uma cafeteria para hackear algo só para dar aquela exibida. No entanto, se você tiver um bom PC, poderia hospedar tanto a máquina atacante quanto a aplicação vítima nele. Mas tudo bem, isso é apenas por diversão.

O que vamos utilizar hoje?

Para este tutorial, estarei usando meu PC pessoal, rodando uma instância virtualizada do Kali Linux, e um Samsung Galaxy A23 com Termux instalado para hospedar a aplicação web que atacaremos. O Samsung Galaxy rodará um servidor Apache que servirá o DVWA (Damn Vulnerable Web App), uma aplicação construída propositalmente com falhas de segurança para que possamos praticar pentesting de maneira realista.

Configuração

Agora vem a parte divertida. Primeiro, vamos instalar o Termux (um aplicativo) no celular. O Termux permite virtualizar um subsistema Linux sem necessidade de root (com algumas limitações, é claro). Então, vamos até a Play Store e instalar o Termux. Você pode encontrá-lo aqui.

Com o Termux instalado e aberto no seu celular, você verá uma tela como a abaixo:

Agora, vamos digitar alguns comandos no Termux para atualizar o sistema e instalar as dependências necessárias para este projeto. Primeiro, execute:

pkg update && pkg upgrade

Espere a instalação terminar. Se o terminal solicitar, digite Y para permitir que o Termux use o armazenamento do celular para baixar as dependências. (Isso será necessário para qualquer comando que executarmos neste tutorial. Apenas aceite e prossiga.)

Após isso, vamos instalar MySQL, PHP, Apache2 e VIM:

pkg install apache2 php-apache mariadb wget vim

Aguarde a conclusão da instalação e, em seguida, prossiga para a próxima etapa: configurar o Apache para executar nosso código PHP.

vim $PREFIX/etc/apache2/httpd.conf

No VIM, você pode rolar o arquivo usando as setas do teclado do Termux. Role até encontrar várias linhas que começam com LoadModule. Entre no modo de inserção pressionando I no teclado e adicione a seguinte linha entre os outros diretórios LoadModule:

LoadModule php_module /data/data/com.termux/files/usr/libexec/apache2/libphp.so

Além disso, descomente (ou seja, remova o # e quaisquer espaços em branco anteriores) a linha que contém:

LoadModule mpm_prefork_module libexec/apache2/mod_mpm_prefork.so

Por fim, antes das linhas LoadModule, você deverá ver uma diretiva Listen seguida de um endereço IP. Altere-a para:

Listen 0.0.0.0:8080

Pressione ESC para sair do modo de inserção e, em seguida, navegue até o final do arquivo. Uma vez lá, pressione I novamente para entrar no modo de inserção e adicione as seguintes linhas antes da diretiva Include etc/apache2/conf.d/*.conf:

<FilesMatch \.php$>
    SetHandler application/x-httpd-php
</FilesMatch>

<IfModule dir_module>
    DirectoryIndex index.php index.html
</IfModule>

Certifique-se de que não haja espaços em branco à esquerda antes de nenhuma das tags; caso contrário, a configuração falhará. O arquivo deverá ficar parecido com isto:

Pressione ESC no Termux e digite :wq para salvar e sair. Agora você deverá estar de volta ao terminal. Em seguida, vamos testar o servidor Apache executando:

apachectl start

Se você ver um aviso sobre ServerName, não se preocupe.

Agora, vamos testar se o PHP está configurado corretamente no Apache executando:

echo "<?php echo 'PHP is working'; ?>" > $PREFIX/share/apache2/default-site/htdocs/test.php
curl http://127.0.0.1:8080/test.php

Você deverá ver apenas a mensagem PHP is working. Se o código PHP for exibido, o Apache não está processando o PHP corretamente. Verifique os passos anteriores para garantir que tudo foi configurado corretamente.

Pare o Apache por enquanto executando:

apachectl stop

Baixando e configurando o DVWA

O primeiro passo para configurar o DVWA corretamente é criar um banco de dados no MySQL para que ele funcione como esperado. Vamos executar o MySQL em segundo plano:

mysqld_safe &

O & no final garante que o processo seja executado em segundo plano.

Em seguida, vamos baixar o DVWA e colocá-lo no diretório do Apache para que possamos servi-lo pela porta 8080:

cd $PREFIX/share/apache2/default-site/htdocs/

wget https://github.com/digininja/DVWA/archive/master.zip -O dvwa.zip

unzip dvwa.zip

mv DVWA-master dvwa

Mudamos de diretório para colocar os arquivos do DVWA no diretório do Apache. O segundo comando baixa o arquivo, o terceiro o descompacta e, por fim, renomeamos a pasta para facilitar o acesso à URL (ao invés de acessar localhost:8080/DVWA-master, você usará localhost:8080/dvwa).

Vamos também renomear o arquivo de configuração do DVWA para que funcione com o Apache:

cd dvwa/config/

mv config.inc.php.dist config.inc.php

Configurar o banco de dados MySQL com valores padrão é o próximo passo. Se desejar alterá-los, utilize o VIM para modificar o arquivo de configuração que você acabou de renomear.

Execute:

mysql -u root

Você entrará no terminal do SQL. A partir daqui, vamos criar um banco de dados, configurar um usuário e senha, e finalmente conceder privilégios ao usuário. Execute:

CREATE DATABASE dvwa;
CREATE USER 'dvwa'@'localhost' IDENTIFIED BY 'p@ssw0rd';
GRANT ALL PRIVILEGES ON dvwa.* TO 'dvwa'@'localhost';
FLUSH PRIVILEGES;

Após executar esses comandos, digite exit para sair do terminal do SQL. Agora, reinicie o Apache com:

apachectl stop

O DVWA agora deverá estar acessível em sua rede (garanta que as máquinas estejam na mesma rede). No seu celular Android, vá em Configurações, depois Conexões ou Wi-Fi. Clique no ícone de engrenagem próximo à sua conexão Wi-Fi. Role para baixo até encontrar o seu endereço IP. Em seguida, digite <seu_endereço_IP>:8080/dvwa no navegador. Você deverá ver uma tela parecida com esta:

O DVWA está configurado e rodando no seu celular Android! Para pará-lo, basta executar apachectl stop; para iniciá-lo novamente, execute apachectl start.

Baixando e configurando o Kali Linux

Para este tutorial, vou virtualizar uma máquina Kali Linux usando o VirtualBox. Existem várias formas de rodar o Kali Linux; se você tiver mais experiência e quiser usar outro método, sinta-se à vontade. Apenas lembre-se de que tanto o Kali quanto o celular Android devem estar na mesma rede. Se você usar um VPS para rodar o Kali, pode instalar o Tailscale tanto no Android quanto no Kali Linux para que fiquem na mesma rede, por exemplo. Dito isso, vamos prosseguir!

Baixe o VirtualBox e execute o instalador. Além disso, baixe os arquivos de máquina virtual do Kali Linux. Extraia os arquivos do download do Kali Linux para o local desejado e clique duas vezes na Imagem Virtual do Kali (o primeiro arquivo na captura de tela):

Isso deverá abrir a interface do VirtualBox com a máquina Kali Linux:

Agora, vamos configurar nossa máquina virtual. O Kali requer pelo menos 2GB de RAM para rodar, mas se você tiver mais disponível, pode alocar RAM adicional para uma experiência mais fluida. O mesmo vale para os núcleos de processador (você pode alocar metade dos núcleos disponíveis, se desejar) e a RAM de vídeo.

Clique com o botão direito na máquina Kali Linux na interface do VirtualBox e selecione Settings (Configurações):

Vá até a seção Storage (Armazenamento) e certifique-se de que o disco virtual incluído na imagem está configurado corretamente:

Em seguida, vá para a aba System (Sistema) e aloque mais RAM. Ele já vem com 2GB, mas eu defini para 4GB para uma experiência mais suave:

Depois, vá para a aba Processor (Processador) e ajuste o número de núcleos, se desejar. Por padrão, ele vem com um núcleo, mas eu defini para 4. Certifique-se de que a opção Enable PAE/NX esteja marcada:

Em seguida, vá para a aba Display (Exibição) e aloque RAM de vídeo. Eu defini para 128MB para evitar quaisquer problemas visuais:

Por fim, vá para Network (Rede), selecione o Adapter 1 e mude o campo onde está escrito Attached to para Bridged Network. Isso garantirá que o Kali Linux e o celular Android estejam na mesma rede:

Agora você pode salvar as configurações e iniciar a máquina. Aguarde um pouco e a tela de login aparecerá. O usuário é kali e a senha também é kali. Faça login e você verá que o Kali está em execução.

Agora você pode acessar a URL do DVWA (<seu_ip_android>:8080/dvwa/) a partir do Kali Linux, além de rodar ferramentas como nmap, dirbuster e outros utilitários de pentest contra a interface do Android.

Happy Hacking :)

Setting up a pentest lab with an Android Phone and Kali Linux

𝔫𝔢𝔱𝔯𝔲𝔫𝔫𝔢𝔯 — Thu, 20 Mar 2025 23:07:03 +0000

Hello, world—coders, tinkerers, and the curious: this article was written for you. Without further ado, this article will guide you step by step in building a pentest lab for the OWASP Top 10 using an Android phone and Kali Linux (although you can choose any OS you want; I won't be covering the alternatives here).

But first, some introductions. My name is Lucas, I'm a software developer and cybersecurity enthusiast based in Brazil. That's about it. Let's dive into some theory and practice, shall we?

What is OWASP Top 10?

The OWASP Top 10 is a list published by the Open Web Application Security Project (OWASP), a nonprofit organization focused on improving software security. It identifies the ten most critical security risks to web applications, based on data from real-world vulnerabilities and input from security experts. The list is updated periodically—typically every few years—to reflect evolving threats. The latest official version is from 2021, but a 2025 update is in progress, expected to be released in the first half of 2025, according to OWASP’s announced timeline. You can learn more by checking the OWASP Foundation website

Why an Android Phone?

Because we can. You might have your reasons for this, such as owning a low-end PC, wanting a mobile application you can carry in your pocket, or even using a notebook in a coffee shop to hack into it just to look cool. However, if you have a good PC, you could host both the attacking machine and the victim application on it. This is just for fun.

What we will be using today?

For this tutorial, I'll be using my PC, running a virtualized instance of Kali Linux, and a Samsung Galaxy A23 with Termux installed to host the web application that we will attack. The Samsung Galaxy will run an Apache server that serves DVWA (Damn Vulnerable Web App), an application intentionally built with security flaws so we can practice pentesting in a realistic setting.

Setup

Okay, here comes the fun part. First of all, we will install Termux (an app) on the phone. Termux lets you virtualize a Linux subsystem without root (with some limitations, of course). So, we will go to the Play Store and install Termux. You can get it here

With Termux installed and opened on your phone, you should see a screen like the one below:

Now we will type some commands in Termux to update the system and install the dependencies we need for this project. First, run:

pkg update && pkg upgrade

Wait for the installation to finish. If prompted in your terminal, type Y to allow Termux to use the phone's storage to download the dependencies. (This will be required for any command we run in this tutorial. Just accept and let it proceed.)

After that, we will install MySQL, PHP, Apache2, and VIM:

pkg install apache2 php-apache mariadb wget vim

Wait for the installation to complete, and then move on to the next step: configuring Apache to run our PHP code.

vim $PREFIX/etc/apache2/httpd.conf

In VIM, you can scroll through the file using the arrow keys on your Termux keyboard. Scroll down until you see several lines that start with LoadModule. Enter insert mode by pressing I on your keyboard and add the following line among the other LoadModule directives:

LoadModule php_module /data/data/com.termux/files/usr/libexec/apache2/libphp.so

Also, uncomment (i.e., remove the # and any preceding whitespaces) the line containing

LoadModule mpm_prefork_module libexec/apache2/mod_mpm_prefork.so

Finally, before the LoadModule lines, you should see a Listen directive followed by an IP address. Change it to:

Listen 0.0.0.0:8080

Press ESC to exit insert mode, then navigate to the end of the file. Once there, press I again to enter insert mode and add the following lines above the Include etc/apache2/conf.d/*.conf directive:

<FilesMatch \.php$>
    SetHandler application/x-httpd-php
</FilesMatch>

<IfModule dir_module>
    DirectoryIndex index.php index.html
</IfModule>

Make sure there are no leading whitespaces before any of the tags; otherwise, it will fail. It should look like this:

Press ESC in Termux and type :wq to save and exit. You should now be back in the terminal. Next, let's test the Apache server by running: apachectl start. Don't worry if you see a warning about ServerName.

Now let's test if PHP is correctly configured in Apache by running

echo "<?php echo 'PHP is working'; ?>" > $PREFIX/share/apache2/default-site/htdocs/test.php
curl http://127.0.0.1:8080/test.php

You should see only PHP is working. If you see the PHP code itself, Apache is not processing PHP correctly. Verify the previous steps to ensure everything is correctly configured.

Stop Apache for now by running: apachectl stop.

Downloading and configuring DVWA

The first step to set up DVWA correctly is to create a database in MySQL to work as intended. Let's run MySQL in the background:

mysqld_safe &

The & at the end ensures the process runs in the background.

Next, let's download DVWA and place it in Apache's directory so that we can serve it over port 8080:

cd $PREFIX/share/apache2/default-site/htdocs/

wget https://github.com/digininja/DVWA/archive/master.zip -O dvwa.zip

unzip dvwa.zip

mv DVWA-master dvwa

We changed directories to place the DVWA files in Apache's directory. The second command downloads the file, the third command unzips it, and finally, we rename the folder to make it easier to access the URL (instead of having to access localhost:8080/DVWA-master, you can use localhost:8080/dvwa).

Let's also rename the DVWA config file so it works with Apache:

cd dvwa/config/

mv config.inc.php.dist config.inc.php

We will configure the MySQL database with default values. If you want to change them, use VIM to modify the config file you just renamed.

Run:

mysql -u root

You should now be in the SQL terminal. From here, we will create a database, set up a user and password, and finally grant privileges to the user. Run:

CREATE DATABASE dvwa;
CREATE USER 'dvwa'@'localhost' IDENTIFIED BY 'p@ssw0rd';
GRANT ALL PRIVILEGES ON dvwa.* TO 'dvwa'@'localhost';
FLUSH PRIVILEGES;

After executing these commands, type exit to leave the SQL terminal. Now, restart Apache with apachectl start

DVWA should now be accessible from your network (ensure that the machines are on the same network). On your Android phone, go to Settings, then Connections or Wi-Fi. Click the gear icon next to your Wi-Fi connection. Scroll down until you find your IP address. Then, type <your_IP_address>:8080/dvwa into your browser. You should see a screen like this:

DVWA is now configured and running on your Android phone! To stop it, simply run apachectl stop; to start it again, run apachectl start.

Download and setup Kali Linux

For this tutorial, I will virtualize a Kali Linux machine using VirtualBox. There are several ways to run Kali Linux; if you have more experience and want to use a different method, feel free to do so. Just remember that both Kali and the Android phone should be on the same network. If you use a VPS to run Kali, you could install Tailscale on both Android and Kali Linux so they are on the same network, for example. That being said, let's proceed!

Download VirtualBox and run the installer. Also, download the virtual machines files from Kali Linux. Extract the files from the Kali Linux download to your desired location, and double-click the Kali Virtual Image (the first file in the screenshot):

This should open the VirtualBox interface with the Kali Linux machine:

Now, we will configure our virtual machine. Kali requires at least 2GB of RAM to run, but if you have more available, you can allocate additional RAM for a smoother experience. The same applies to processor cores (you can allocate half of your available cores if desired) and video RAM.

Right click in the Kali Linux machine in the VirtualBox interface and select Settings:

Go to the Storage section and ensure that the virtual disk included with the image is properly configured:

Next, go to the **System **tab and allocate more RAM. It already comes with 2GB, but I set it to 4GB for a smoother experience:

Then, go to the **Processor **tab and adjust the number of cores if desired. It comes with one core by default, but I assigned 4. Ensure that Enable PAE/NX is checked:

Next, go to the Display tab and allocate video RAM. I set it to 128MB to avoid any visual glitches:

Lastly go to Network and select the Adapter 1 and change where is written Attached to to Bridged Network. This will ensure Kali Linux and the Android Phone are in the same network:

Now you can save the settings and run the machine. Wait a while and the login screen will show. The user is kali and the password is also kali. Log in, and you will see that Kali is now running.

Now you can access the DVWA url (<your_android_ip>:8080/dvwa/) from your Kali Linux, as well as running things like nmap on the android ip, dirbuster, and other web pentest tools.

Happy Hacking :)