detta är en guide för alla som har en intresserad av penetrationstestning men ingen erfarenhet av det. För att kontrollera omfattningen antar jag att du har viss utvecklingserfarenhet och är bekant (om inte bekväm) med ett kommandoradsgränssnitt. Men så mycket som möjligt ska jag försöka berätta exakt vilket kommando du ska ange eller knappen för att trycka på samt vad varje kommando och knapp gör.

Jag hoppas att detta kommer att utsätta fler utvecklare till en värld av etiska hacking. Och även om din resa slutar efter denna handledning, förhoppningsvis kommer du att lämna med en bättre förståelse för några av de verktyg och tekniker som hackare kan använda för att attackera dina projekt.

ställa in ett enkelt penntestlabb för absoluta nybörjare

det finns förmodligen otaliga sätt att ställa in ett penntestlabb. Men det enklaste (imho) innebär bara tre saker:

• en avsiktligt sårbar offer virtuell maskin
• en attack virtuell maskin
• en virtualiseringsapplikation för att köra dem

Varning: att arbeta med avsiktligt utsatta miljöer kan vara farligt eftersom de introducerar sårbarheter i vilket nätverk de är en del av (men senare ska jag gå igenom hur man mildrar denna risk).

offret

för att öva hacking behöver du ett sårbart system som du har behörighet att hacka. Ett bra ställe att hitta dessa är vulnhub.com. Vulnhub är bra eftersom det inte bara har massor av avsiktligt utsatta miljöer, det har också många samhällsgenererade genomgångar om hur man kan dra nytta av dem. För den här guiden ska jag använda ”NullByte: 1 ” gå vidare och ladda ner den (via zip eller torrent) här.

angriparen

du behöver också en maskin att attackera från, helst en som redan har ett antal vanliga hackverktyg förinstallerade. Kali linux är ett utmärkt val för detta eftersom det är utformat speciellt för penetrationstestning. Efter att ha läst igenom den här guiden bestämde jag mig för att bara ladda ner en prefab Kali VM från offensiv säkerhet. Gå vidare och ladda ner en av Kali Linux VirtualBox-bilderna här.

nätverket

Nu behöver du en virtualiseringsapplikation för att köra dina offer-och attackmaskiner. VMware är ett populärt val för detta men igen, på råd från guiden som jag nämnde ovan gick jag med VirtualBox. Du kan ladda ner och installera det här.

Nu ska du kunna importera offer och attack maskiner du hämtat tidigare helt enkelt genom att öppna varje .ova-fil med VirtualBox. Vid denna tidpunkt bör du se något så här:

div >

Kali-Linux är din attack maskin, och nullbyte är ditt offer.

nu för var och en av de två VM: erna:

• högerklicka på VM och välj ”Inställningar”
• börja med att gå till fliken ”Portar” och se till att ”aktivera USB-kontroller” är avmarkerade (du behöver inte usb för denna övning)
• gå nu till fliken ”Nätverk” och välj ”internt nätverk” från rullgardinsmenyn märkt ”bifogad”
• Du kan behålla standardnätverksnamnet eller ställa in ditt eget, här använde jag ”test-nätverk”

nu det båda maskinerna är inställda på att köras på ett ”internt nätverk” de kommer inte att kunna kommunicera med antingen internet eller värden (dvs. din dator). Denna separation är varför vi kan köra den avsiktligt utsatta offermaskinen utan att oroa oss för att någon annan utnyttjar den för att tränga in i vårt nätverk eller den sårbara maskinen som potentiellt skadar vår värdmaskin. Men för att de två virtuella maskinerna ska kunna kommunicera med varandra i det interna nätverket måste du lägga till en DHCP-server i ditt nya nätverk för att tilldela IP-adresser till VM: erna. För att göra detta öppna ett terminalfönster och ange det här kommandot:

vboxmanage dhcpserver add — netname test-network — ip 10.10.10.1 — netmask 255.255.255.0 — lowerip 10.10.10.2 — upperip 10.10.10.12 — enable

Du kan hitta detaljer om vad varje komponent i det här kommandot gör i den här youtube-videon. I grund och botten lägger vi till en DHCP-server i virtualbox-nätverket med namnet ”test-network” (om du namngav ditt nätverk något annat, se till att ange kommandot ovan med ditt nätverksnamn) och ge det IP-adressen 10.10.10.1 och berätta för det att tilldela andra maskiner på nätverks-IP-adresserna i intervallet 10.10.10.2 till 10.10.10.12.

nu är ditt labb upprättat och du kan starta dina offer-och attackmaskiner från VirtualBox genom att dubbelklicka på dem. Varje maskin ska starta i sitt eget fönster. Offermaskinen ska se ut så här:

och attackmaskinen ska se ut så här:

vi behöver inte göra någonting med offermaskinen så att vi bara kan lämna den ensam för tillfället. För att logga in på attackmaskinen använder du standard användarnamnet ” root ”och lösenordet” toor ” (upprättat av offensiv säkerhet).

När du är inloggad öppnar du linux-terminalen från dockan till vänster.

även om vi är på ett isolerat nätverk och jag inte planerar att lagra någonting på den här maskinen, var det första jag gjorde att ställa in lösenordet till något säkrare (eftersom jag är neurotisk om lösenord). Om du är neurotisk om lösenord som jag kan du göra detsamma genom att använda linux-kommandot

passwd

Nu är vi alla inställda för vår första penna testövning med en VM från Vulnhub! För en nybörjare orienterad genomgång av själva hacka fortsätta läsa del 2 av denna serise!