Kali Linux Web滲透測試手冊(第二版) - 1.0 - 滲透測試環境搭建

一．配置KALI Linux和滲透測試環境

在這一章，咱們將覆蓋如下內容：

• 在Windows和Linux上安裝VirtualBox

• 建立一個Kali Linux虛擬機

• 更新和升級Kali Linux

• 爲滲透測試配置web瀏覽器

• 建立一個屬於本身的靶機

• 爲正確的通訊配置虛擬機

• 瞭解易受攻擊的虛擬機上的web應用程序

 

介紹

在第一章中，咱們將介紹如何準備咱們的Kali Linux安裝，以便可以遵循書中全部的方法，並使用虛擬機創建一個具備脆弱web應用程序的實驗室。

 

 

1.1、在Windows和Linux上安裝VirtualBox

虛擬化多是創建測試實驗室或試驗不一樣操做系統時最方便的工具，由於它容許咱們在本身的內部運行多個虛擬計算機，而不須要任何額外的硬件。

在本書中，咱們將使用VirtualBox做爲虛擬化平臺來建立咱們的測試目標以及咱們的Kali Linux攻擊機器。

在第一個「祕籍」中，咱們將向您展現如何在Windows和任何基於debian的GNU/Linux操做系統(例如Ubuntu)上安裝VirtualBox。

 

TIP:讀者沒有必要同時安裝這兩個操做系統。這個配方顯示這兩種選擇都是爲了完成後續一些操做。

 

 

準備

若是咱們使用Linux做爲基礎操做系統，在安裝任何東西以前，咱們須要更新咱們的軟件存儲庫的信息。打開終端並輸入如下命令:

    |# sudo apt-getupdate

 

怎麼作…

安裝VirtualBox須要執行如下步驟:

1. 要在任何基於debian的Linux VirtualBox中安裝VirtualBox，只需打開終端，輸入如下命令:

|#   sudo apt-get install virtualbox

2. 安裝完成後，咱們將經過導航到「Applications | Accessories | VirtualBox」在菜單中找到VirtualBox。或者，咱們能夠從終端調用它：

|#      virtualbox

Tip：若是您使用Windows計算機做爲基本系統，請跳至第3步。

3. 在Windows中，咱們須要從下面的網站，下載VirtualBox安裝程序

 

https://www.virtualbox.org/wiki/Downloa

 

4. 下載文件後，咱們打開它並啓動安裝過程。

5. 在第一個對話框中，單擊「下一步」並按照安裝過程進行操做。

6. 咱們可能會被問到從Oracle公司安裝網絡適配器的問題;爲了使虛擬機中的網絡正常工做，咱們須要安裝這些設備:

 

7. 安裝完成後，咱們只需從菜單中打開VirtualBox：

 

8. 如今咱們已經運行了VirtualBox，咱們準備創建虛擬機來創建咱們本身的測試環境。

 

它是如何工做的…

VirtualBox將容許咱們經過虛擬化在計算機中運行多臺機器。有了這個，咱們就能夠在不一樣的計算機上安裝一個完整的實驗室，使用不一樣的操做系統，並在主機的內存資源和處理能力容許的範圍內並行地運行它們。

 

更多…

VirtualBox擴展包爲VirtualBox的虛擬機提供了額外的特性，好比USB 2.0/3.0支持和遠程桌面功能。能夠從https://www.virtualbox.org/wiki/Downloads下載。下載後，只需雙擊它，VirtualBox將完成其他的工做。

 

另請參閱

還有其餘一些虛擬化選項。若是你不喜歡使用VirtualBox，你能夠嘗試如下方法:

• VMwarePlayer/Workstation

• QEMU

• Xen

• Kernel-based Virtual Machine(KVM)

 

 

1.2、建立一個Kali Linux虛擬機

Kali是一個GNU/Linux發行版，由攻擊安全構建，主要關注安全性和滲透測試。它附帶了許多預先安裝的工具，包括安全專業人員用於逆向工程、滲透測試和取證分析的最流行的開源工具。

咱們將在本書中使用KaliLinux做爲攻擊平臺，咱們將從頭建立一個虛擬機，並在此「祕籍」中安裝Kali Linux。

 

準備

KaliLinux能夠從它的官方下載頁面https://www.kali.org/downloads/.html得到，對於這個食譜，咱們將使用64位系統 (頁面上的第一個選項)。

 

怎麼作……

在VirtualBox中建立虛擬機的過程很是簡單，讓咱們看看這個並執行如下步驟:

1. 要在VirtualBox中建立新的虛擬機，可使用主菜單、Machine | New或單擊new按鈕。

2. 彈出新對話框;這裏，咱們爲虛擬機選擇一個名稱、類型和操做系統的版本:

 

3. 接下來，咱們將詢問這個虛擬機的內存大小。Kali Linux至少須要1Gb;咱們將爲虛擬機設置2Gb，這個值取決於你的系統可分配的資源。

4. 咱們單擊Next進入硬盤設置，選擇「如今建立虛擬硬盤」，而後點擊建立，在主機文件系統中建立新的虛擬磁盤文件:

 

 

 

5. 在下一個屏幕上，選擇如下選項:

l  動態分配(Dynamically allocated):這意味着當咱們在虛擬系統中添加或編輯文件時，這個虛擬機的磁盤映像的大小將會增長(實際上，它將添加新的虛擬磁盤文件)。

l  對於硬盤文件類型，選擇VDI (VirtualBox磁盤映像)並單擊Next。

l  接下來，咱們須要選擇文件存儲在主機文件系統中的位置和它們的最大容量;這是虛擬操做系統的存儲容量。咱們保留默認位置，選擇35.36 GB大小。這取決於你的基礎機器的資源，可是爲了安裝必需的工具，至少應該是20GB。如今，點擊建立:

 

6. 建立虛擬機以後，選擇它並單擊Settings，而後轉到Storage並選擇Controller: IDE下的CD圖標。在屬性面板中，單擊CD圖標，選擇「虛擬光盤文件」，瀏覽從官方頁面下載的Kali圖像。而後單擊OK:

 

7. 咱們已經建立了一個虛擬機，可是咱們仍然須要安裝操做系統。啓動虛擬機，它將使用咱們配置爲虛擬CD/DVD的Kali映像啓動。使用箭頭選擇圖形安裝和按回車:

 

8. 咱們正在開始安裝過程。在下一個頁，選擇系統的語言、鍵盤分佈、主機名和域。

9. 以後，您將被要求輸入root密碼;在基於unix的系統中，root是最高管理員帳戶，在Kali中，它是默認的登陸賬戶。設置密碼，確認，點擊繼續:

 

10. 接下來，咱們須要選擇時區，而後配置硬盤;咱們將使用引導設置使用整個磁盤:

 

11. 選擇您想在其上安裝系統的磁盤(只能有一個)。

12. 下一步是選擇分區選項，咱們選擇將全部文件放在同一個分區中。

13. 接下來，咱們須要經過選擇「結束分區設定並將修改寫入磁盤」，而後單擊繼續。而後選擇Yes寫入更改並在下一個屏幕上繼續。這將啓動安裝過程:

 

14.安裝完成後，安裝程序將要求您配置包管理器。回答「是」可使用網絡鏡像並設置代理配置，若是不使用代理鏈接internet，請將其留空。

15.最後一步是配置GRUB引導:只需回答Yes，而後在下一個屏幕上從列表中選擇硬盤。而後，單擊Continue，安裝將完成。

16.單擊安裝完成窗口中的Continue以從新啓動VM。

17.當VM從新啓動時，它將請求用戶名;鍵入root並按下回車鍵。而後輸入你爲root用戶登陸設置的密碼。如今咱們已經安裝了Kali Linux。

 

它是如何工做的…

在這個「祕籍」中，咱們在虛擬機中建立了咱們的第一虛擬機，設置了咱們的操做系統所共享的內存預留量，併爲VM建立了一個新的虛擬硬盤文件，以使用和設置最大容量。咱們還將VM配置爲從CD/DVD映像開始，而後以在物理計算機上安裝Kali Linux的方式安裝它。

爲了安裝KaliLinux,咱們使用了圖形安裝程序並選擇引導磁盤分區,這是當咱們安裝一個操做系統,特別是基於unix的一個,咱們須要定義系統的哪部分(或安裝),安裝硬盤的分區;幸運的是，Kali Linux的安裝能夠解決這個問題，咱們只須要選擇硬盤並確認建議的分區。咱們還將Kali配置爲使用包管理器的網絡存儲庫。這將容許咱們安裝和更新軟件從互聯網和保持咱們的系統最新。

 

更多…

在虛擬機中運行KaliLinux有不一樣的方法。例如，能夠從攻擊安全站點下載預先構建的虛擬機映像:

https://www.offensi-security.com/kali-linux-vm-vmware-virtualbox-hyperv-image-download/

咱們選擇這種方法是由於它涉及建立虛擬機和從頭安裝Kali Linux的完整過程。

 

1.3、更新和升級Kali Linux

在開始測試web應用程序的安全性以前，咱們須要確保擁有全部必需的最新工具。這個方法涵蓋了維護最新的Kali Linux工具及其最新版本的基本任務。咱們還將安裝web應用程序測試包。

  

怎麼作……

一旦完成Kali Linux的工做實例後運行並執行如下步驟:

1.  以Kali Linux上的root用戶登陸並打開一個終端。

2.  運行apt-get更新命令。這將下載可用於安裝的更新包(應用程序和工具)列表:

 

3.  更新完成後，運行apt-get full upgrade命令將系統更新到最新版本:

 

4.  當被要求繼續時，按Y，而後按回車。

5.  如今，咱們有了最新的Kali Linux，能夠繼續使用了。

6.  儘管Kali附帶了一套很好的預先安裝的工具，可是它的軟件存儲庫中還包括一些其餘的工具，但默認狀況下是不安裝的。爲了確保咱們擁有web應用程序滲透測試所需的一切，咱們經過輸入apt-get installkali-linux-web命令來安裝kali-linux-web測試包:

 

7.  咱們能夠找到咱們在應用菜單上安裝的工具，03 – Web Application Analysis：

 

 

它是如何工做的…

在這個「祕籍」中，咱們介紹了在基於debian的系統(如KaliLinux)中使用標準軟件管理器apt進行包更新的基本過程。因爲Kali Linux如今是一個滾動發行版，這意味着它會不斷更新，而且在一個版本和下一個版本之間沒有中斷;完整的升級參數下載和安裝系統(如內核和內核模塊)和非系統包，直到它們的最新版本。若是沒有進行重大更改，或者咱們只是試圖保持已安裝版本的最新，咱們可使用升級參數。

在本教程的最後一部分中，咱們安裝了kli -linux-web元包。apt的元包是一個可安裝的包，包含許多其餘包，因此咱們只須要安裝一個包，全部包含的包都將被安裝。在本例中，咱們安裝了Kali Linux中包含的全部web滲透測試工具。

聲明：本系列文章轉自 公衆號：bat7089 若有侵權聯繫博主刪除