Kali Linux Web渗透测试手册(第二版) - 1.1 - 渗透测试环境搭建

 

 

翻译来自：掣雷小组

成员信息：

thr0cyte，

博客连接：

http://thr0cyte.xyz/

Gr33k，

博客连接：

http://www.zhanghuijun.top/

花花，

博客连接：

http://to0ls.cn/

小丑，

博客连接：

https://www.tcp.red/

R1ght0us，

博客连接：

http://www.r1ght0us.xyz/

7089bAt，

只有此公众号，必定要关注哦，慢慢会有不少干货的~

 

 

前言：

从今天开始呢，我天天更新一小节。这样你们天天也都能学习到一个知识点，到最后量变产生质变，收获是很大的。

关于这个第一章呢，本来有八个小节吧，可是我归为了三类：

一是kali的安装与更新，

二是浏览器须要安装的一些插件，

三是靶机的安装，

前面也都发出来了，但不算原文翻译，其中有本身的东西，这两个结合着看吧。

 

标记红色的部分为今日更新内容。

 

一．创建KALI Linux和测试环境

在这一章，咱们将覆盖如下内容：

l  在Windows和Linux上安装VirtualBox

l  建立一个Kali Linux虚拟机

l  更新和升级Kali Linux

l  为渗透测试配置web浏览器

l  建立一个属于本身的靶机

l  为正确的通讯配置虚拟机

l  了解易受攻击的虚拟机上的web应用程序

 

介绍

在第一章中，咱们将介绍如何准备咱们的Kali Linux安装，以便可以遵循书中全部的方法，并使用虚拟机创建一个具备脆弱web应用程序的实验室。

 

 

1.1、在Windows和Linux上安装VirtualBox

虚拟化多是创建测试实验室或试验不一样操做系统时最方便的工具，由于它容许咱们在本身的内部运行多个虚拟计算机，而不须要任何额外的硬件。

在本书中，咱们将使用VirtualBox做为虚拟化平台来建立咱们的测试目标以及咱们的Kali Linux攻击机器。

在第一个“秘籍”中，咱们将向您展现如何在Windows和任何基于debian的GNU/Linux操做系统(例如Ubuntu)上安装VirtualBox。

 

TIP: 读者没有必要同时安装这两个操做系统。这个配方显示这两种选择都是为了完成后续一些操做。

 

 

准备

若是咱们使用Linux做为基础操做系统，在安装任何东西以前，咱们须要更新咱们的软件存储库的信息。打开终端并输入如下命令:

    |# sudo apt-get update

 

怎么作…

安装VirtualBox须要执行如下步骤:

1. 要在任何基于debian的Linux VirtualBox中安装VirtualBox，只需打开终端，输入如下命令:

|#   sudo apt-get install virtualbox

2. 安装完成后，咱们将经过导航到“Applications | Accessories | VirtualBox”在菜单中找到VirtualBox。或者，咱们能够从终端调用它：

|#      virtualbox

Tip：若是您使用Windows计算机做为基本系统，请跳至第3步。

3. 在Windows中，咱们须要从下面的网站，下载VirtualBox安装程序

https://www.virtualbox.org/wiki/Downloads

 

4. 下载文件后，咱们打开它并启动安装过程。

5. 在第一个对话框中，单击“下一步”并按照安装过程进行操做。

6. 咱们可能会被问到从Oracle公司安装网络适配器的问题;为了使虚拟机中的网络正常工做，咱们须要安装这些设备:

 

7. 安装完成后，咱们只需从菜单中打开VirtualBox：

 

8. 如今咱们已经运行了VirtualBox，咱们准备创建虚拟机来创建咱们本身的测试环境。

 

 

 

 

它是如何工做的…

VirtualBox将容许咱们经过虚拟化在计算机中运行多台机器。有了这个，咱们就能够在不一样的计算机上安装一个完整的实验室，使用不一样的操做系统，并在主机的内存资源和处理能力容许的范围内并行地运行它们。

 

更多…

VirtualBox扩展包为VirtualBox的虚拟机提供了额外的特性，好比USB 2.0/3.0支持和远程桌面功能。能够从https://www.virtualbox.org/wiki/Downloads下载。下载后，只需双击它，VirtualBox将完成其他的工做。

 

另请参阅

还有其余一些虚拟化选项。若是你不喜欢使用VirtualBox，你能够尝试如下方法:

l  VMware Player/Workstation

l  QEMU

l  Xen

l  Kernel-based Virtual Machine(KVM)

 

 

 

1.2、建立一个Kali Linux虚拟机

Kali是一个GNU/Linux发行版，由攻击安全构建，主要关注安全性和渗透测试。它附带了许多预先安装的工具，包括安全专业人员用于逆向工程、渗透测试和取证分析的最流行的开源工具。

咱们将在本书中使用Kali Linux做为攻击平台，咱们将从头建立一个虚拟机，并在此“秘籍”中安装Kali Linux。

 

准备

Kali Linux能够从它的官方下载页面https://www.kali.org/downloads/.html得到，对于这个食谱，咱们将使用64位系统 (页面上的第一个选项)。

 

 

怎么作……

在VirtualBox中建立虚拟机的过程很是简单，让咱们看看这个并执行如下步骤:

1. 要在VirtualBox中建立新的虚拟机，可使用主菜单、Machine | New或单击new按钮。

2. 弹出新对话框;这里，咱们为虚拟机选择一个名称、类型和操做系统的版本:

 

3. 接下来，咱们将询问这个虚拟机的内存大小。Kali Linux至少须要1Gb;咱们将为虚拟机设置2Gb，这个值取决于你的系统可分配的资源。

4. 咱们单击Next进入硬盘设置，选择“如今建立虚拟硬盘”，而后点击建立，在主机文件系统中建立新的虚拟磁盘文件:

 

 

 

5. 在下一个屏幕上，选择如下选项:

l  动态分配(Dynamically allocated):这意味着当咱们在虚拟系统中添加或编辑文件时，这个虚拟机的磁盘映像的大小将会增长(实际上，它将添加新的虚拟磁盘文件)。

l  对于硬盘文件类型，选择VDI (VirtualBox磁盘映像)并单击Next。

l  接下来，咱们须要选择文件存储在主机文件系统中的位置和它们的最大容量;这是虚拟操做系统的存储容量。咱们保留默认位置，选择35.36 GB大小。这取决于你的基础机器的资源，可是为了安装必需的工具，至少应该是20 GB。如今，点击建立:

 

6. 建立虚拟机以后，选择它并单击Settings，而后转到Storage并选择Controller: IDE下的CD图标。在属性面板中，单击CD图标，选择“虚拟光盘文件”，浏览从官方页面下载的Kali图像。而后单击OK:

 

7. 咱们已经建立了一个虚拟机，可是咱们仍然须要安装操做系统。启动虚拟机，它将使用咱们配置为虚拟CD/DVD的Kali映像启动。使用箭头选择图形安装和按回车:

 

8. 咱们正在开始安装过程。在下一个页，选择系统的语言、键盘分布、主机名和域。

9. 以后，您将被要求输入root密码;在基于unix的系统中，root是最高管理员帐户，在Kali中，它是默认的登陆账户。设置密码，确认，点击继续:

 

10.  接下来，咱们须要选择时区，而后配置硬盘;咱们将使用引导设置使用整个磁盘:

 

11.  选择您想在其上安装系统的磁盘(只能有一个)。

12.  下一步是选择分区选项，咱们选择将全部文件放在同一个分区中。

13.  接下来，咱们须要经过选择“结束分区设定并将修改写入磁盘”，而后单击继续。而后选择Yes写入更改并在下一个屏幕上继续。这将启动安装过程:

 

14. 安装完成后，安装程序将要求您配置包管理器。回答“是”可使用网络镜像并设置代理配置，若是不使用代理链接internet，请将其留空。

15. 最后一步是配置GRUB引导:只需回答Yes，而后在下一个屏幕上从列表中选择硬盘。而后，单击Continue，安装将完成。

16. 单击安装完成窗口中的Continue以从新启动VM。

17. 当VM从新启动时，它将请求用户名;键入root并按下回车键。而后输入你为root用户登陆设置的密码。如今咱们已经安装了Kali Linux。

 

它是如何工做的…

在这个“秘籍”中，咱们在虚拟机中建立了咱们的第一虚拟机，设置了咱们的操做系统所共享的内存预留量，并为VM建立了一个新的虚拟硬盘文件，以使用和设置最大容量。咱们还将VM配置为从CD/DVD映像开始，而后以在物理计算机上安装Kali Linux的方式安装它。

为了安装Kali Linux,咱们使用了图形安装程序并选择引导磁盘分区,这是当咱们安装一个操做系统,特别是基于unix的一个,咱们须要定义系统的哪部分(或安装),安装硬盘的分区;幸运的是，Kali Linux的安装能够解决这个问题，咱们只须要选择硬盘并确认建议的分区。咱们还将Kali配置为使用包管理器的网络存储库。这将容许咱们安装和更新软件从互联网和保持咱们的系统最新。

更多…

在虚拟机中运行Kali Linux有不一样的方法。例如，能够从攻击安全站点下载预先构建的虚拟机映像:

https://www.offensi-security.com/kali-linux-vm-vmware-virtualbox-hyperv-image-download/

咱们选择这种方法是由于它涉及建立虚拟机和从头安装Kali Linux的完整过程。

 

 

 

 

1.3、更新和升级Kali Linux

在开始测试web应用程序的安全性以前，咱们须要确保拥有全部必需的最新工具。这个方法涵盖了维护最新的Kali Linux工具及其最新版本的基本任务。咱们还将安装web应用程序测试包。

 

 

怎么作……

一旦完成Kali Linux的工做实例后运行并执行如下步骤:

1. 以Kali Linux上的root用户登陆并打开一个终端。

2. 运行apt-get更新命令。这将下载可用于安装的更新包(应用程序和工具)列表:

 

3. 更新完成后，运行apt-get full upgrade命令将系统更新到最新版本:

 

4. 当被要求继续时，按Y，而后按回车。

5. 如今，咱们有了最新的Kali Linux，能够继续使用了。

6. 尽管Kali附带了一套很好的预先安装的工具，可是它的软件存储库中还包括一些其余的工具，但默认状况下是不安装的。为了确保咱们拥有web应用程序渗透测试所需的一切，咱们经过输入apt-get install kali-linux-web命令来安装kali-linux-web测试包:

 

7. 咱们能够找到咱们在应用菜单上安装的工具，03 – Web Application Analysis：

 

 

 

它是如何工做的…

在这个“秘籍”中，咱们介绍了在基于debian的系统(如Kali Linux)中使用标准软件管理器apt进行包更新的基本过程。因为Kali Linux如今是一个滚动发行版，这意味着它会不断更新，而且在一个版本和下一个版本之间没有中断;完整的升级参数下载和安装系统(如内核和内核模块)和非系统包，直到它们的最新版本。若是没有进行重大更改，或者咱们只是试图保持已安装版本的最新，咱们可使用升级参数。

在本教程的最后一部分中，咱们安装了kli -linux-web元包。apt的元包是一个可安装的包，包含许多其余包，因此咱们只须要安装一个包，全部包含的包都将被安装。在本例中，咱们安装了Kali Linux中包含的全部web渗透测试工具。