如果想要了解系统的安全状况,那么可以进行渗透测试,找出系统中的漏洞,验证是否存在安全隐患。
渗透测试的含义不只是评估,它会用已发现的漏洞来进行测试,以验证该漏洞是真实存在还是只是虚惊一场(假阳性)。举个例子,审计或评估利用的是扫描工具,这些工具会显示多个系统上的数百个可能的漏洞。而渗透测试则会采用恶意黑客的惯用手段来尝试对这些漏洞进行攻击。这样可以验证哪些漏洞真实存在,从而可以将实际的系统漏洞数降至少量。最有效的渗透测试是那些针对特定系统的有特定目标的测试。质胜于量,这才是检验成功渗透测试的标准。在目标性攻击中,相比大范围攻击,对单个系统进行枚举攻击更能真实反映系统安全中的问题以及处理突发情况的响应时间。
如何更好的学习渗透测试吶,最好的办法就是搭建一个渗透测试环境。即使用虚拟化技术,在电脑中模拟一个计算机环境,在这个环境中进行渗透测试。使用渗透测试环境最大的好处是可以放心的进行测试,而不用担心法律问题,如果你对未经授权的计算机系统进行测试,那就是违反法律的行为。 本文使用 VMware Workstation 软件搭建Kali Linux作为渗透测试实验平台,搭建Metasploitable作为渗透测试目标 。
本文有三部分,分为 虚拟机的搭建 、 Kali Linux系统的安装 、 Metasploitable 环境的搭建 。
一、虚拟机的搭建
随着虚拟机技术的发展,可以很方便的在自己电脑中新建一个虚拟机,这个虚拟机可以安装Windows、OS X、Ubuntu 、 Centos、Kali等各种系统,而且可以设置虚拟机的内存、硬盘大小,虚拟机和真实的计算机完全一样,唯一不同的是在虚拟机中操作不会对宿主主机造成影响,你可以很方便的新建或者删除虚拟机。
我使用的是 VMware Workstation ,你可以在官网下载安装,这个软件需要收费。
VMware Workstation 安装过程比较简单,和安装普通的软件一样,选择合适的安装位置就能够完成安装。
二、Kali linux 系统的安装
VMware虚拟机软件安装完成后,第二步就是安装Kali Linux,我们首先在 官网 下载 Kali Linux 镜像 。
下载地址:https://www.kali.org/downloads/
镜像下载完成后在VMware中新建一个虚拟机,按照以下步骤完成安装:
1、新建虚拟机,选择“典型”
2、选择安装程序光盘镜像,这里选择下载好的Kali linux。
3、选择“其他 linux 3.x 内核64位安装”
4、其他安装默认点击下一步就能完成 Kali Linux 的安装了。
安装后打开虚拟机,就能够正常进入系统使用。
三、Metasploitable
Metasploitable是一个系统镜像,已经在计算机中预置了大量安全漏洞,并且极易受到攻击,可以方便我们学习渗透测试技术。
Metasploitable2是一个已预置的虚拟机,可以很方便的搭建实验环境,以下是Metasploitable2的安装。
1、下载镜像
通过https://sourceforge.net/projects/metasploitable/ 下载Metasploitable2镜像,然后解压下载的文件。
2、双击打开 Metasploitable.vmx 文件。
3、这样就成功安装了Metasploitable2
4、登陆Metasploitable
默认的用户名和密码是:
用户名: msfadmin
密 码: msfadmin
登陆成功后使用ifconfig查看网络配置
可以看到网络也已经连接成功了!
四、渗透测试环境搭建成功
这里登陆 Kali Linux ,使用默认的浏览器 IceWeasel 访问 Metasploitable2 的虚拟机地址,可以看到已经成功的连接到Metasploitable。
完成以上步骤之后,恭喜你,已经有了渗透测试的环境。
