iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 30
2
Security

冰山一角的駭客工具介紹系列 第 30

[駭客工具 Day30] 介紹了這麼多東西?那我可以打哪裡

鐵人賽最後一天啦!!!

最後一天介紹的不是攻擊也不是防禦的工具,
今天要講的是充滿漏洞的測試平台(系統與網頁)。
畢竟介紹了這麼多工具,大家多少都會手癢想試試看,
那許多篇文章也有不斷重複重複再重複提醒各位,
請不要違法、請勿在未授權的情況下去攻擊他人網站,
所以有了武器,有了技巧到底該怎麼試試自己的能耐?

就好像軍人警察平常練習射擊,一定是到靶場打靶。
葉問雖然詠春技巧點滿,也不會整天到路上打人,
平常也是用木人樁好好練習。
以下介紹幾個不同的滲透測試環境(或稱靶機),
也不會有詳細的介紹跟教學,可以找到一個自己有興趣的試試看。

  1. Metasploitable 2
    聽名字就知道是Metasploit專案底下的產物,
    Metasploitable 2是一個以Linux系統的虛擬機,
    可用來進行系統、資料庫、網頁的滲透滲透練習。
    這是我個人第一個接觸的靶機,下載後用虛擬機開啟就可以了,
    非常的方便,只是虛擬機的介面是指令介面。
    Metasploitable 2的網頁部分有Mutillidae跟DVWA,兩個知名的網頁測試環境。
    https://ithelp.ithome.com.tw/upload/images/20191001/20114110bvM1s27z7U.png

2. DVWA
就是剛剛上面最後才提到的呀~
DVWA全名是Damn Vulnerable Web Application,
它跟第一個介紹的不一樣,DVWA是純用於網頁漏洞測試,
下載下來也不會像Metasploitable那樣有一個虛擬機映像檔,
所以容量小很多,不過你就沒辦法直接開啟了,
必須要架好一個環境讓你架設網站,這邊我是推薦下載XAMPP,
XAMPP可以幫你開啟php跟MySQL,接著你就可以掛上DVWA。

這邊提到了一些與網頁有關的東西,分享一下,
其實我當初在玩這個DVWA的時候,
根本對甚麼php, MySQL, Apache, XAMPP,前後端運作模式等等
一堆東西都根本完全不了解。我是覺得如果可以了解基本概念與運作,
才來接觸關於資安的東西,才開始練習滲透測試,是滿不錯的想法,
不過其實不管網路領域或是網頁領域內容都相當豐富,
有時候怕自己想說瞭解一下,就發散到一直沒辦法結束QQ
像之前我朋友說想走網頁後端,我跟他說你想走網頁喔,
HTML跟CSS滿基礎的,你可以花兩天稍微看看是甚麼東西,
然後他就看了一個月XDDDD
他說無法接受一知半解,它一定好好搞懂那些東西。
也許這也是好事,每個人想法是不同,
但我覺得如果方向明確,可以直接先試試玩滲透看看,
或是有時間也可以平行去學習。

  1. Mutillidae
    Mutillidae與DVWA一樣是作為網頁滲透測試的環境,
    那一樣是由php運行,可以先安裝XAMPP再開啟。

  2. WebGoat
    WebGoat跟Mutillidae, DVWA其實也都是一樣性質的東西,
    可以當成是不同品牌做出來的產品而已,
    WebGoat是由JAVA寫成,所以需要安裝JRE環境。
    這邊提一下關於DVWA, Mutillidae, WebGoat我個人的想法,
    雖然這些網頁的滲透環境,都可以在本機上安裝去練習,
    但我建議是開個虛擬機,不管用甚麼作業系統都好,
    然後在虛擬機中安裝這個測試環境,再用本機去連線進行測試。

  3. bWAPP/bee-box
    最後一個介紹的有兩個東西~
    直接就推薦抓bee-box就好,它就像是第一個介紹的一樣是個虛擬機,
    那打開來之後還是有GUI介面的喔,
    連線過去的網頁就是bWAPP網頁漏洞測試環境,
    那bWAPP性質就跟介紹的2~4個一樣。

以上~ 詳細的教學就大家再另行尋找了。
就稍微介紹了幾個測試環境,有興趣練習的可以找個自己喜歡適合的就好。

我的第一次鐵人賽也在今天圓滿落幕了,
雖然內容不是很豐富詳細,
不過在這陣子工作繁忙、生活頹廢的情況下,
可以順利的完成鐵人賽也是心滿意足。

未來仍然會不斷持續努力,
希望能夠發出更多有質量的好文章。
謝謝觀看的大家。


上一篇
[駭客工具 Day29] WordPress安全測試工具 - WPScan
系列文
冰山一角的駭客工具介紹30

1 則留言

0
阿展展展
iT邦好手 1 級 ‧ 2020-03-13 05:26:23

恭喜完賽!

我要留言

立即登入留言