大家好!從今天開始我會針對滲透測試這項學問,進行為期30天的介紹,一開始先賣點關子,先不講技術,我們先從建立環境來說起,人常說:「工具善其事,必先利其器」,況且滲透測試在實際環境中操作可能會有觸及刑法第三十六章:「妨礙電腦使用罪」的顧慮,總不能只是想學學滲透測試,結果最後被當成駭客吧!這樣太不值得了,於是我們在開始前必須建立一套以虛擬機器(VMWare Workstation)為基礎的兩套作業環境:Kali Linux及Metasploitable。
VMWare是一間提供雲端運算及虛擬機器的公司,Workstation是該公司旗下的產品之一,可提供用戶安裝虛擬作業環境在自身電腦上,僅須透過掛載所需映像檔(iso),即可在與實機隔離的環境下使用不同作業系統的環境,藉以練習安裝作業系統過程及測試軟體服務等,然而該VMWare Workstation Pro為付費軟體,可自官網下載並試用一個月,不過也有精簡版的VMWare Workstation Player提供免費使用,目前(2017/12/20)版本為14.0.0,請依照自己的作業環境下載適當的版本後,安裝於主機中。
如果大家對於滲透測試有一點點的了解,那麼對於Kali Linux一定不陌生,其實在Kali官網首頁就用大標題告訴我們它是「Our Most Advanced Penetration Testing Distribution」,也就是Linux的滲透測試發行版啦!
Kali內建許多提供滲透測試用小工具,可以說是一應俱全了啦!這也不難理解為什麼滲透測試的作業環境都建立在Kali之上了吧!
我們的環境必須將Kali安裝於VMWare Workstation上,所需要的iso檔在官網上方點選Download即可依照自己的作業環境開始下載,完成下載後將iso檔掛載到VMWare Workstation上,就可以開始安裝作業系統。
Metasploitable是設計用來進行滲透測試練習的「目標機」,該主機內含許多漏洞供大家練習,一樣將其架設於VMWare Workstation上,即可利用Kali中的工具對其進行滲透。
在https://sourceforge.net/projects/metasploitable/files/Metasploitable2/ 下載壓縮檔後解壓縮,直接點選Metasploitable.vmx檔案即可執行。
開啟後進入登入畫面如下,帳號及密碼就如同畫面所示(msfadmin),輸入後完成登入:
在開始前我們要先知道目標機的IP,以利後續在Kali中進行滲透模擬,請各位先行在該環境輸入指令:ifconfig,每個不同的環境測試出來的IP都不會一樣,以我的為例,IP為192.168.91.131,後面的文章中如有需要輸入目標主機IP時,請自行依個人環境修正參數。
完成環境的建置後,我們就要開始後續的介紹了,不過每個環境都還有期許多特色及強項呢!有興趣的讀者千萬別只是拘束自己的求知欲望喔!