Dette er en guide til alle, der har en interesseret i penetrationstest, men ingen erfaring med det. For at kontrollere omfanget antager jeg, at du har en vis udviklingserfaring og er bekendt (hvis ikke behagelig) ved hjælp af en kommandolinjegrænseflade. Men så meget som muligt vil jeg forsøge at fortælle dig præcis, hvilken kommando du skal indtaste eller knap for at trykke på, samt hvad hver kommando og knap gør.

Jeg håber, at dette vil udsætte flere udviklere for verden af Etisk hacking. Og selvom din rejse stopper efter denne tutorial, forhåbentlig vil du forlade med en bedre forståelse af nogle af de værktøjer og teknikker, som hackere kan bruge til at angribe dine projekter.

opsætning af et simpelt pen testlaboratorium for absolutte begyndere

der er sandsynligvis utallige måder at oprette et pen testlaboratorium på. Men den enkleste (imho) involverer kun tre ting:

• en bevidst sårbar offer virtuel maskine
• en angreb virtuel maskine
• en virtualiseringsprogram til at køre dem

advarsel: at arbejde med bevidst sårbare miljøer kan være farligt, fordi de introducerer sårbarheder i det netværk, de er en del af (men senere vil jeg gå over, hvordan man mindsker denne risiko).

offeret

for at øve hacking skal du have et sårbart system, som du har tilladelse til at hacke. Et godt sted at finde disse er vulnhub.com. Vulnhub er fantastisk, fordi det ikke kun har masser af bevidst sårbare miljøer, det har også mange samfundsgenererede gennemgange af, hvordan man drager fordel af dem. Til denne vejledning vil jeg bruge “NullByte: 1 ” gå videre og hente det (via lynlås eller torrent) her.

angriberen

Du skal også bruge en maskine til at angribe fra, ideelt set en, der allerede har en række almindelige hackingværktøjer forudindlæst. Kali linuk er et godt valg til dette, da det er designet specielt til penetrationstest. Efter at have læst gennem denne vejledning besluttede jeg at bare hente en prefab Kali VM fra Offensive Security. Gå videre og hente en af de Kali linke Virtualboks billeder her.

netværket

nu skal du bruge et virtualiseringsprogram til at køre dine offer-og angrebsmaskiner. Det er et populært valg til dette, men igen, efter råd fra den guide, jeg nævnte ovenfor, gik jeg med Virtualboks. Du kan hente og installere det her.

nu skal du være i stand til at importere offeret og angribe maskiner du hentede tidligere blot ved at åbne hver .ova fil med Virtualboks. På dette tidspunkt skal du se noget som dette:

div>

Kali-linuk er din angrebsmaskine, og nullbyte er dit offer.

nu for hver af de to VM ‘ er:

• Højre klik på VM, og vælg “indstillinger”
• Start ved at gå til “Porte” – fanen, og sørg for, at “Aktiver USB Controller” uncheckers (du behøver ikke usb til denne øvelse)
• Nu gå til “Net” fanen og vælg “interne netværk” fra dropdown menu der hedder “Knyttet til”
• Du kan holde den standard netværksnavn eller sæt din egen, her brugte jeg “test-netværk”

Nu, at begge maskiner er indstillet til at køre på et “internt netværk”, de vil ikke være i stand til at kommunikere med enten internettet eller værten (dvs.din computer). Denne adskillelse er grunden til, at vi kan køre den bevidst sårbare offermaskine uden at bekymre os om, at en anden eksploderer den for at trænge ind i vores netværk eller den sårbare maskine, der potentielt ødelægger vores værtsmaskine. Men for at de to virtuelle maskiner skal kommunikere med hinanden på det interne netværk, skal du tilføje en DHCP-server til dit nye netværk for at tildele IP-adresser til VM ‘ erne. For at gøre dette skal du åbne et terminalvindue og indtaste denne kommando:

vboxmanage dhcpserver add — netname test-network — ip 10.10.10.1 — netmask 255.255.255.0 — lowerip 10.10.10.2 — upperip 10.10.10.12 — enable

Du kan finde detaljer om, hvad hver komponent i denne kommando gør i denne youtube-video. Grundlæggende tilføjer vi en DHCP-server til virtualboks-netværket med navnet “test-netværk” (hvis du navngav dit netværk noget andet, skal du sørge for at indtaste kommandoen ovenfor med dit netværksnavn) og give den IP-adressen 10.10.10.1 og fortælle den at tildele andre maskiner på netværkets IP-adresser i intervallet 10.10.10.2 til 10.10.10.12.

nu er dit laboratorium sat op, og du kan starte dit offer og angribe maskiner fra Virtualboks ved at dobbeltklikke på dem. Hver maskine skal starte i deres eget vindue. Offermaskinen skal se sådan ud:

og angrebsmaskinen skal se sådan ud:

vi behøver ikke gøre noget med offermaskinen, så vi kan bare lade det være i fred for nu. For at logge ind på angrebsmaskinen skal du bruge standardbrugernavnet “root” og adgangskoden “toor” (oprettet af stødende sikkerhed).

Når du er logget ind, skal du åbne terminalen fra dock til venstre.

selvom vi er på et isoleret netværk, og jeg ikke planlægger at gemme noget på denne maskine, var det første, jeg gjorde, at indstille adgangskoden til noget mere sikkert (da jeg er neurotisk over adgangskoder). Hvis du er neurotisk omkring adgangskoder som mig, kan du gøre det samme ved at bruge kommandoen

passwd

nu er vi alle klar til vores første pen testøvelse med en VM fra Vulnhub! For en nybegynder orienteret gennemgang af selve hack holde læsning Del 2 af denne serise!