Kali Linux Web滲透測試手冊(第二版) --- 安裝kali及一些瀏覽器插件

前言：

Kali Linux Web Penetration Testing Cookbook這本手冊第一章講的是如何安裝kali和測試環境，對於kali安裝網上有太多教程了，沒什么難的，我就將我安裝流程貼出來，畢竟原版安裝的是英文版kali，如果有啥問題，度娘是最好的解決。然后我發現這章有趣的地方是給Firefox安裝一些web滲透必要的一些插件。 下面這個是第一章的總目錄，我主要整理了給Firfox安裝插件，以及插件的功能介紹，剩下的就是安裝kali 以及更新kali。

 

 

 原版連接，關注下面微信號，回復：資源兩字，即可獲取原版PDF一份~

 

 

建立KALI Linux和測試環境

在這一章，我們將覆蓋以下內容：

l  Installing VirtualBox on Windows and Linux

l  Creating a Kali Linux virtual machine

l  Updating and upgrading Kali Linux

l  Configuring the web browser for penetration testing

l  Creating a vulnerable virtual machine

l  Creating a client virtual machine

l  Configuring virtual machines for correct communication

l  Getting to know web applications on a vulnerable virtual machine

 

 

 

 

第一步 ：安裝vmware虛擬機

下載地址：https://www.vmware.com/cn/products/workstation-pro/workstation-pro-evaluation.html

原本想下載下來放到百度雲，然后一步步指導安裝。但是網太卡，索性大家就從官網上下載吧，也沒什么難的，實在有什么問題去找 -à 萬能的度娘吧。

第二步 ：安裝kali系統

下載地址: https://www.kali.org/downloads/

從官網上面下載吧，這本指導手冊是基於2018.x 版本，Kali 每年都會更新，具體更改細節去看官方文檔吧。之前就有2018.2版本的kali 就將安裝步驟給整理下來了，沒什么難的，kali支持中文，基本上都能看的懂，直接看圖就好了：

 

 

 看到最后一張圖片就說明你成功安裝上了kali， 趕緊登陸進去開始下一步的操作吧......

 

第三步 ：更新源

1. 更改kali為國內源：打開源文件，在終端輸入 leafpad /etc/apt/sources.list

　　  2.選擇一個kali國內源復制粘貼保存，源地址如下：

#中科大

deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib

deb-src http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib

#阿里雲

deb http://mirrors.aliyun.com/kali kali-rolling main non-free contrib

deb-src http://mirrors.aliyun.com/kali kali-rolling main non-free contrib

#清華大學

deb http://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main contrib non-free

deb-src https://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main contrib non-free

#浙大

deb http://mirrors.zju.edu.cn/kali kali-rolling main contrib non-free

deb-src http://mirrors.zju.edu.cn/kali kali-rolling main contrib non-free

#東軟大學

deb http://mirrors.neusoft.edu.cn/kali kali-rolling/main non-free contrib

deb-src http://mirrors.neusoft.edu.cn/kali kali-rolling/main non-free contrib

#官方源

deb http://http.kali.org/kali kali-rolling main non-free contrib

deb-src http://http.kali.org/kali kali-rolling main non-free contrib

 

3.在終端輸入下面一句話，安裝並更新所有：

apt-get update && apt-get upgrade && apt-get dist-upgrade

 

 

 

 

第四步 ：針對web滲透，在Firefox瀏覽器下安裝一些必要的插件

Configuring the web browser for penetration testing

Firefox是一個非常靈活的瀏覽器，非常適合web滲透測試的目的;它還預裝在Kali Linux中。我們稍微定制一下，讓它更好地使用下面的步驟

 

1. 打開Firefox，進入菜單中的附件:

 

 

 

2.在搜索框中，輸入wappalyzer查找我們將要安裝的第一個插件:

 

 

3.單擊Wappalyzer插件中的Install安裝。您可能還需要確認安裝。

4.接下來，我們搜索FoxyProxy。

5.點擊安裝。

6.現在搜索並安裝Cookies Manager+。

7.搜索並安裝HackBar。

8.搜索並安裝HttpRequester。

9.搜索並安裝RESTClient。

10.搜索並安裝User-Agent Switcher。

11.搜索並安裝Tampermonkey。

12.搜索並安裝Tamper Data and Tamper Data Icon Redux.

13.安裝的擴展列表如下圖所示:

 

 

 

他們是如何工作的…

到目前為止，我們已在web瀏覽器中安裝了一些工具，但這些工具在穿透測試web應用程序時的功能是什么呢?安裝的插件介紹如下：

 

l  HackBar:一個非常簡單的附加組件，可以幫助我們嘗試不同的輸入值，而無需更改或重寫完整的URL。在手工檢查跨站點腳本編寫和注入時，我們將經常使用這種方法。它可以使用F9鍵激活。

l  cookie Manager+:這個附加組件允許我們查看和修改瀏覽器從應用程序接收到的cookie的值。

l  User-Agent Switcher:此插件允許我們修改用戶代理字符串(瀏覽器標識符)，該字符串在發送到服務器的所有請求中。應用程序有時使用這個字符串顯示或隱藏某些元素，這取決於所使用的瀏覽器和操作系統。

l  Tamper Data:這個附加組件能夠捕獲瀏覽器發送給服務器的任何請求，讓我們有機會在應用程序的表單中引入數據並到達服務器之前修改數據。Tamper Data Icon Redux只添加一個圖標。

l  FoxyProxy Standard:一個非常有用的擴展，允許我們使用用戶提供的預設，在一次點擊中改變瀏覽器的代理設置。

l  Wappalyzer:這是一個用來識別網站中使用的平台和開發工具的工具。這對於提取web服務器及其使用的軟件非常有用。

l  HttpRequester:使用這個工具，可以處理HTTP請求，包括get、post和put方法，並觀察來自服務器的原始響應。

l  RESTClient:這基本上是一個像HTTP請求者一樣的請求生成器，但主要關注REST web服務。它包括添加標題、不同的身份驗證模式以及get、post、put和delete方法的選項。

l  Tampermonkey:這個擴展允許我們在瀏覽器中安裝用戶腳本，並在加載之前或之后對web頁面內容進行動態更改。從滲透測試的角度來看，這有助於繞過客戶端控件和其他客戶端代碼操作。

 

其他

其他對web應用程序滲透測試有用的附加組件如下:

l  XSS Me

l  SQL Inject Me

l  iMacros

l  FirePHP

 原版連接，關注下面微信號，回復：資源兩字，即可獲取原版PDF一份~

 ------------------------------接收最新消息，趕緊關注我的微信號吧-----------------------