Dit is een gids voor iedereen die geà nteresseerd is in penetratietesten, maar er geen ervaring mee heeft. Om scope te controleren, ga ik ervan uit dat je wat ontwikkelingservaring hebt en vertrouwd (zo niet comfortabel) bent met behulp van een command line interface. Maar zo veel mogelijk zal ik proberen om u precies te vertellen wat commando in te voeren of knop in te drukken, evenals wat elke opdracht en knop doet.

Ik hoop dat dit meer ontwikkelaars zal blootstellen aan de wereld van ethisch hacken. En zelfs als uw reis stopt na deze tutorial, hopelijk zul je vertrekken met een beter begrip van een aantal van de tools en technieken die hackers kunnen gebruiken om uw projecten aan te vallen.

het opzetten van een eenvoudig pen test lab voor absolute beginners

Er zijn waarschijnlijk ontelbare manieren om een pen test lab op te zetten. Maar de eenvoudigste (imho) omvat slechts drie dingen:

• een opzettelijk kwetsbare slachtoffer virtuele machine
• een aanval virtuele machine
• een virtualisatie applicatie om ze uit te voeren

: werken met opzettelijk kwetsbare omgevingen kan gevaarlijk zijn omdat ze kwetsbaarheden introduceren in welk netwerk ze deel uitmaken van (maar later zal ik gaan over hoe dit risico te beperken).

het slachtoffer

om te oefenen met hacken heb je een kwetsbaar systeem nodig dat je toestemming hebt om te hacken. Een geweldige plek om deze te vinden is vulnhub.com. Vulnhub is geweldig, want het heeft niet alleen een ton van opzettelijk kwetsbare omgevingen, Het heeft ook een heleboel gemeenschap gegenereerde walkthroughs van hoe om te profiteren van hen. Voor deze gids ga ik “NullByte gebruiken: 1 ” ga je gang en download het (via zip of torrent) hier.

de aanvaller

u hebt ook een machine nodig om aan te vallen, idealiter een machine die al een aantal gangbare hacking-tools vooraf heeft geladen. Kali linux is een geweldige keuze voor dit omdat het speciaal is ontworpen voor penetratie testen. Na het lezen van deze gids heb ik besloten om gewoon downloaden van een prefab Kali VM van Offensive Security. Ga je gang en download een van de Kali Linux VirtualBox Images hier.

het netwerk

nu hebt u een virtualisatie applicatie nodig om uw slachtoffer en aanval machines te draaien. VMware is een populaire keuze voor deze, maar, nogmaals, op advies van de gids die ik hierboven noemde ik ging met VirtualBox. U kunt downloaden en installeren hier.

nu zou je in staat moeten zijn om de slachtoffers en aanvallen machines die je eerder hebt gedownload eenvoudig te importeren door ze te openen .ova bestand met VirtualBox. Op dit punt zou je zoiets als dit moeten zien:

Kali-Linux is je aanvalsmachine, en nullbyte is je slachtoffer.

nu voor elk van de twee VMs:

• klik Rechts op de VM en selecteer “instellingen”
• Start door te gaan naar de “Poorten” tab en zorg ervoor dat “Enable USB-Controller” is uncheckers (u hoeft geen usb voor deze oefening)
• ga Nu naar de “Netwerk” – tab en selecteer “intern netwerk” uit het dropdown menu met de naam “Gekoppeld aan”
• U kunt de standaard naam van het netwerk of stel uw eigen, ik heb hier “test-netwerk

Nu beide machines zijn ingesteld om te draaien op een “intern netwerk” ze zullen niet in staat zijn om te communiceren met het internet of de host (dat wil zeggen uw computer). Deze scheiding is de reden waarom we de opzettelijk kwetsbare slachtoffermachine kunnen draaien zonder ons zorgen te maken over iemand anders die het exploiteert om ons netwerk binnen te dringen of de kwetsbare machine die mogelijk onze hostmachine corrumpeert. Maar om de twee virtuele machines met elkaar te laten communiceren op het interne netwerk moet u een DHCP-server toevoegen aan uw nieuwe netwerk om IP-adressen toe te wijzen aan de VM ‘ s. Om dit te doen open een terminalvenster en voer dit commando in:

vboxmanage dhcpserver add — netname test-network — ip 10.10.10.1 — netmask 255.255.255.0 — lowerip 10.10.10.2 — upperip 10.10.10.12 — enable

u kunt details vinden over wat elk onderdeel van dit commando doet in deze youtube video. In principe voegen we een DHCP-server toe aan het virtualbox-netwerk met de naam “test-network” (als je je netwerk iets anders noemt, zorg er dan voor dat je het commando hierboven invoert met je netwerknaam) en geef het het IP-adres 10.10.10.1 en vertel het om andere machines toe te wijzen op het netwerk IP-adressen in het bereik van 10.10.10.2 tot 10.10.10.12.

nu is uw lab ingesteld en u kunt uw slachtoffer en aanval machines starten vanuit VirtualBox door erop te dubbelklikken. Elke machine moet beginnen in hun eigen venster. De slachtoffermachine zou er zo uit moeten zien:

en de aanvalsmachine moet er zo uitzien:

We hoeven niets te doen met de Victim machine, dus we kunnen het nu gewoon met rust laten. Om in te loggen op de aanvalsmachine gebruik je de standaard gebruikersnaam “root” en het wachtwoord “toor” (ingesteld door Offensive Security).

zodra je ingelogd bent, open je de linux terminal vanaf het dock aan de linkerkant.

hoewel we op een geïsoleerd netwerk zitten en ik niet van plan ben om iets op deze machine op te slaan, was het eerste wat ik deed het wachtwoord instellen op iets veiliger (omdat ik neurotisch ben over wachtwoorden). Als je neurotisch bent over wachtwoorden zoals Ik, kun je hetzelfde doen met het linux commando

passwd

nu zijn we allemaal klaar voor onze eerste pen test oefening met een VM van Vulnhub! Voor een beginner georiënteerde walkthrough van de werkelijke hack houden lezen Deel 2 van deze serise!