toto je průvodce pro každého, kdo má zájem o penetrační testování, ale nemá s ním žádné zkušenosti. Chcete-li ovládat rozsah, budu předpokládat, že máte nějaké zkušenosti s vývojem a jsou obeznámeni (pokud nejsou pohodlné) pomocí rozhraní příkazového řádku. Ale pokud je to možné, pokusím se vám přesně říct, jaký příkaz zadat nebo tlačítko stisknout, stejně jako to, co každý příkaz a tlačítko dělá.

doufám, že to vystaví více vývojářů světu etického hackování. A i když se vaše cesta zastaví po tomto tutoriálu, doufejme, že odejdete s lepším porozuměním některým nástrojům a technikám, které hackeři mohou použít k útoku na vaše projekty.

nastavení jednoduché laboratoře pro testování pera pro absolutní začátečníky

pravděpodobně existuje nespočet způsobů, jak nastavit laboratoř pro testování pera. Ale nejjednodušší (imho) zahrnuje jen tři věci:

• úmyslně zranitelné oběti virtuální stroj
• útok virtuální stroj
• virtualizaci aplikace je spustit

Háček: práce s úmyslně zranitelnými prostředími může být nebezpečná, protože zavádějí zranitelnosti do jakékoli sítě, do které jsou součástí (ale později projdu, jak toto riziko zmírnit).

oběť

abyste mohli praktikovat hackování, budete potřebovat zranitelný systém, který máte oprávnění k hackování. Skvělé místo, kde najít tyto je vulnhub.com. Vulnhub je skvělé, protože nejen, že má spoustu záměrně zranitelné prostředí, to také má mnoho společenství vytvořené návody, jak využít z nich. Pro tuto příručku budu používat “ NullByte: 1 “ Jděte do toho a stáhněte si ji (přes zip nebo torrent) zde.

útočník

Budete také potřebovat stroj k útoku, nejlépe ten, který již má řadu společných hackerské nástroje předem. Kali linux je skvělou volbou, protože je navržen speciálně pro penetrační testování. Po přečtení této příručky jsem se rozhodl stáhnout si panelák Kali VM z Offensive Security. Pokračujte a stáhněte si jeden z obrázků Kali Linux VirtualBox zde.

síť

Nyní budete potřebovat virtualizační aplikaci pro spuštění vašich strojů pro oběti a útoky. VMware je pro to oblíbenou volbou, ale opět na radu průvodce, který jsem zmínil výše, jsem šel s VirtualBoxem. Zde si jej můžete stáhnout a nainstalovat.

Nyní byste měli být schopni importovat oběti a útočné stroje, které jste stáhli dříve, jednoduše otevřením každého z nich .ova soubor s VirtualBox. V tuto chvíli byste měli vidět něco takového:

Kali-linux je váš útok stroj, a NullByte je vaše oběť.

nyní pro každý ze dvou VM:

• klikněte Pravým tlačítkem na VM a vyberte „nastavení“
• Začněte tím, že půjdete na „Porty“ kartu, a ujistěte se, že „Enable USB Controller“ je uncheckers (nebudete potřebovat usb pro tato cvičení)
• Nyní přejděte do „Sítě“ kartu a vyberte možnost „internal network“ z rozbalovacího menu s nápisem „Připojeno“
• můžete ponechat výchozí název sítě nebo nastavit vlastní, zde jsem použil „test sítě“

Nyní, že oba stroje jsou nastaveny tak, aby fungovaly na „interní síti“, nebudou moci komunikovat ani s internetem ,ani s hostitelem (tj. Toto oddělení je důvod, proč můžeme spustit záměrně zranitelné oběti stroj bez starostí o někoho jiného explointing to proniknout do naší sítě nebo počítače potenciálně korumpující náš hostitel stroj. Aby však tyto dva virtuální stroje mohly vzájemně komunikovat v interní síti, budete muset do nové sítě přidat server DHCP, abyste mohli VM přiřadit adresy IP. K tomu otevřete terminálové okno a zadejte tento příkaz:

vboxmanage dhcpserver add — netname test-network — ip 10.10.10.1 — netmask 255.255.255.0 — lowerip 10.10.10.2 — upperip 10.10.10.12 — enable

můžete Si najít podrobnosti o tom, co každá součást tohoto příkazu se v tomto youtube videu. V podstatě, jsme přidání DHCP server na virtualboxu síť s názvem „test sítě“ (pokud se vám jménem vaší síti něco jiného, ujistěte se, že zadejte výše uvedený příkaz se svými název sítě) a dávat to IP address 10.10.10.1 a říkám to přiřadit jiné zařízení v síti IP adresy v rozsahu 10.10.10.2 na 10.10.10.12.

nyní je vaše laboratoř nastavena a můžete spustit své oběti a útočné stroje z VirtualBoxu dvojitým kliknutím na ně. Každý stroj by měl začít ve svém vlastním okně. Oběť stroj by měl vypadat takto:

A útok stroj by měl vypadat takto:

Nepotřebujeme dělat něco s počítači oběti, takže jsme si jen nechat to být nyní. Pro přihlášení do útoku stroj použít výchozí uživatelské jméno „root“ a heslo „toor“ (nastavit Ofenzivní Bezpečnost).

jakmile jste přihlášeni, otevřete terminál linux z doku vlevo.

i když jsme v izolované síti a neplánuji na tomto počítači nic ukládat, první věc, kterou jsem udělal, bylo nastavit heslo na něco bezpečnějšího(protože jsem neurotický ohledně hesel). Pokud jste hákliví na hesla jako já, můžete udělat totéž pomocí linuxového příkazu

passwd

Teď jsme všichni nastavit pro naše první pero testování cvičení s VM od Vulnhub! Pro začátečníky orientovaný návod skutečného hack pokračujte ve čtení části 2 této série!