一.配置KALI Linux和滲透測試環境
在這一章,我們將覆蓋以下內容:
-
在Windows和Linux上安裝VirtualBox
-
創建一個Kali Linux虛擬機
-
更新和升級Kali Linux
-
為滲透測試配置web瀏覽器
-
創建一個屬於自己的靶機
-
為正確的通信配置虛擬機
-
了解易受攻擊的虛擬機上的web應用程序
介紹
在第一章中,我們將介紹如何准備我們的Kali Linux安裝,以便能夠遵循書中所有的方法,並使用虛擬機建立一個具有脆弱web應用程序的實驗室。
1.1、在Windows和Linux上安裝VirtualBox
虛擬化可能是建立測試實驗室或試驗不同操作系統時最方便的工具,因為它允許我們在自己的內部運行多個虛擬計算機,而不需要任何額外的硬件。
在本書中,我們將使用VirtualBox作為虛擬化平台來創建我們的測試目標以及我們的Kali Linux攻擊機器。
在第一個“秘籍”中,我們將向您展示如何在Windows和任何基於debian的GNU/Linux操作系統(例如Ubuntu)上安裝VirtualBox。
TIP:讀者沒有必要同時安裝這兩個操作系統。這個配方顯示這兩種選擇都是為了完成后續一些操作。
准備
如果我們使用Linux作為基礎操作系統,在安裝任何東西之前,我們需要更新我們的軟件存儲庫的信息。打開終端並輸入以下命令:
|# sudo apt-getupdate
怎么做…
安裝VirtualBox需要執行以下步驟:
1. 要在任何基於debian的Linux VirtualBox中安裝VirtualBox,只需打開終端,輸入以下命令:
|# sudo apt-get install virtualbox
2. 安裝完成后,我們將通過導航到“Applications | Accessories | VirtualBox”在菜單中找到VirtualBox。或者,我們可以從終端調用它:
|# virtualbox
Tip:如果您使用Windows計算機作為基本系統,請跳至第3步。
3. 在Windows中,我們需要從下面的網站,下載VirtualBox安裝程序
https://www.virtualbox.org/wiki/Downloa
4. 下載文件后,我們打開它並啟動安裝過程。
5. 在第一個對話框中,單擊“下一步”並按照安裝過程進行操作。
6. 我們可能會被問到從Oracle公司安裝網絡適配器的問題;為了使虛擬機中的網絡正常工作,我們需要安裝這些設備:
7. 安裝完成后,我們只需從菜單中打開VirtualBox:
8. 現在我們已經運行了VirtualBox,我們准備建立虛擬機來建立我們自己的測試環境。
它是如何工作的…
VirtualBox將允許我們通過虛擬化在計算機中運行多台機器。有了這個,我們就可以在不同的計算機上安裝一個完整的實驗室,使用不同的操作系統,並在主機的內存資源和處理能力允許的范圍內並行地運行它們。
更多…
VirtualBox擴展包為VirtualBox的虛擬機提供了額外的特性,比如USB 2.0/3.0支持和遠程桌面功能。可以從https://www.virtualbox.org/wiki/Downloads下載。下載后,只需雙擊它,VirtualBox將完成其余的工作。
另請參閱
還有其他一些虛擬化選項。如果你不喜歡使用VirtualBox,你可以嘗試以下方法:
-
VMwarePlayer/Workstation
-
QEMU
-
Xen
-
Kernel-based Virtual Machine(KVM)
1.2、創建一個Kali Linux虛擬機
Kali是一個GNU/Linux發行版,由攻擊安全構建,主要關注安全性和滲透測試。它附帶了許多預先安裝的工具,包括安全專業人員用於逆向工程、滲透測試和取證分析的最流行的開源工具。
我們將在本書中使用KaliLinux作為攻擊平台,我們將從頭創建一個虛擬機,並在此“秘籍”中安裝Kali Linux。
准備
KaliLinux可以從它的官方下載頁面https://www.kali.org/downloads/.html獲得,對於這個食譜,我們將使用64位系統 (頁面上的第一個選項)。
怎么做……
在VirtualBox中創建虛擬機的過程非常簡單,讓我們看看這個並執行以下步驟:
1. 要在VirtualBox中創建新的虛擬機,可以使用主菜單、Machine | New或單擊new按鈕。
2. 彈出新對話框;這里,我們為虛擬機選擇一個名稱、類型和操作系統的版本:
3. 接下來,我們將詢問這個虛擬機的內存大小。Kali Linux至少需要1Gb;我們將為虛擬機設置2Gb,這個值取決於你的系統可分配的資源。
4. 我們單擊Next進入硬盤設置,選擇“現在創建虛擬硬盤”,然后點擊創建,在主機文件系統中創建新的虛擬磁盤文件:
5. 在下一個屏幕上,選擇以下選項:
l 動態分配(Dynamically allocated):這意味着當我們在虛擬系統中添加或編輯文件時,這個虛擬機的磁盤映像的大小將會增加(實際上,它將添加新的虛擬磁盤文件)。
l 對於硬盤文件類型,選擇VDI (VirtualBox磁盤映像)並單擊Next。
l 接下來,我們需要選擇文件存儲在主機文件系統中的位置和它們的最大容量;這是虛擬操作系統的存儲容量。我們保留默認位置,選擇35.36 GB大小。這取決於你的基礎機器的資源,但是為了安裝必需的工具,至少應該是20GB。現在,點擊創建:
6. 創建虛擬機之后,選擇它並單擊Settings,然后轉到Storage並選擇Controller: IDE下的CD圖標。在屬性面板中,單擊CD圖標,選擇“虛擬光盤文件”,瀏覽從官方頁面下載的Kali圖像。然后單擊OK:
7. 我們已經創建了一個虛擬機,但是我們仍然需要安裝操作系統。啟動虛擬機,它將使用我們配置為虛擬CD/DVD的Kali映像啟動。使用箭頭選擇圖形安裝和按回車:
8. 我們正在開始安裝過程。在下一個頁,選擇系統的語言、鍵盤分布、主機名和域。
9. 之后,您將被要求輸入root密碼;在基於unix的系統中,root是最高管理員賬戶,在Kali中,它是默認的登錄帳戶。設置密碼,確認,點擊繼續:
10. 接下來,我們需要選擇時區,然后配置硬盤;我們將使用引導設置使用整個磁盤:
11. 選擇您想在其上安裝系統的磁盤(只能有一個)。
12. 下一步是選擇分區選項,我們選擇將所有文件放在同一個分區中。
13. 接下來,我們需要通過選擇“結束分區設定並將修改寫入磁盤”,然后單擊繼續。然后選擇Yes寫入更改並在下一個屏幕上繼續。這將啟動安裝過程:
14.安裝完成后,安裝程序將要求您配置包管理器。回答“是”可以使用網絡鏡像並設置代理配置,如果不使用代理連接internet,請將其留空。
15.最后一步是配置GRUB引導:只需回答Yes,然后在下一個屏幕上從列表中選擇硬盤。然后,單擊Continue,安裝將完成。
16.單擊安裝完成窗口中的Continue以重新啟動VM。
17.當VM重新啟動時,它將請求用戶名;鍵入root並按下回車鍵。然后輸入你為root用戶登錄設置的密碼。現在我們已經安裝了Kali Linux。
它是如何工作的…
在這個“秘籍”中,我們在虛擬機中創建了我們的第一虛擬機,設置了我們的操作系統所共享的內存預留量,並為VM創建了一個新的虛擬硬盤文件,以使用和設置最大容量。我們還將VM配置為從CD/DVD映像開始,然后以在物理計算機上安裝Kali Linux的方式安裝它。
為了安裝KaliLinux,我們使用了圖形安裝程序並選擇引導磁盤分區,這是當我們安裝一個操作系統,特別是基於unix的一個,我們需要定義系統的哪部分(或安裝),安裝硬盤的分區;幸運的是,Kali Linux的安裝可以解決這個問題,我們只需要選擇硬盤並確認建議的分區。我們還將Kali配置為使用包管理器的網絡存儲庫。這將允許我們安裝和更新軟件從互聯網和保持我們的系統最新。
更多…
在虛擬機中運行KaliLinux有不同的方法。例如,可以從攻擊安全站點下載預先構建的虛擬機映像:
https://www.offensi-security.com/kali-linux-vm-vmware-virtualbox-hyperv-image-download/
我們選擇這種方法是因為它涉及創建虛擬機和從頭安裝Kali Linux的完整過程。
1.3、更新和升級Kali Linux
在開始測試web應用程序的安全性之前,我們需要確保擁有所有必需的最新工具。這個方法涵蓋了維護最新的Kali Linux工具及其最新版本的基本任務。我們還將安裝web應用程序測試包。
怎么做……
一旦完成Kali Linux的工作實例后運行並執行以下步驟:
1. 以Kali Linux上的root用戶登錄並打開一個終端。
2. 運行apt-get更新命令。這將下載可用於安裝的更新包(應用程序和工具)列表:
3. 更新完成后,運行apt-get full upgrade命令將系統更新到最新版本:
4. 當被要求繼續時,按Y,然后按回車。
5. 現在,我們有了最新的Kali Linux,可以繼續使用了。
6. 盡管Kali附帶了一套很好的預先安裝的工具,但是它的軟件存儲庫中還包括一些其他的工具,但默認情況下是不安裝的。為了確保我們擁有web應用程序滲透測試所需的一切,我們通過輸入apt-get installkali-linux-web命令來安裝kali-linux-web測試包:
7. 我們可以找到我們在應用菜單上安裝的工具,03 – Web Application Analysis:
它是如何工作的…
在這個“秘籍”中,我們介紹了在基於debian的系統(如KaliLinux)中使用標准軟件管理器apt進行包更新的基本過程。由於Kali Linux現在是一個滾動發行版,這意味着它會不斷更新,並且在一個版本和下一個版本之間沒有中斷;完整的升級參數下載和安裝系統(如內核和內核模塊)和非系統包,直到它們的最新版本。如果沒有進行重大更改,或者我們只是試圖保持已安裝版本的最新,我們可以使用升級參數。
在本教程的最后一部分中,我們安裝了kli -linux-web元包。apt的元包是一個可安裝的包,包含許多其他包,所以我們只需要安裝一個包,所有包含的包都將被安裝。在本例中,我們安裝了Kali Linux中包含的所有web滲透測試工具。
聲明:本系列文章轉自 公眾號:bat7089 如有侵權聯系博主刪除