iT邦幫忙

2025 iThome 鐵人賽

DAY 4
0

今天要來先準備好一些工具,以便我們之後練習題目時不用再另外設定。

先備知識 🍘

  • 基礎的 Linux 操作(會移動到不同目錄、知道自己身份、看檔案等)
  • 基礎的 Web Security(path traversal、webshell、CMD injection等)
  • 基礎的網路概念

其餘部分就是我們要介紹的部分啦,但是還是需要先對這些熟悉,後面文章提到就不再多做敘述。

攻擊機器

相信身為資安人,常用電腦內一定有一款以上的虛擬機軟體吧。
不論是 VMwareVirtualBoxUTM等。
可以準備一台 Kali 的虛擬機,在後續的分享上,工具會比較齊全!

VPN

HackTheBox 的 VPN 都是使用 OpenVPN,只要下載他們的 config,然後匯入進去就可以直接連線了!

https://ithelp.ithome.com.tw/upload/images/20250918/20178792mmwf0TNOkt.png

VPN 都會在練習題上方可以下載,Academy 的 VPN 只有一份,所以只需要載一次就好。

⚠️注意事項

如果你想要在虛擬機內打靶機的話,在沒有額外設定下(虛擬機走 NAT),請記得把 VPN 開在虛擬機內,以免在需要監聽反彈 shell 時出現問題。

額外方法

如果你的電腦不允許你再多裝虛擬機的話,HackTheBox 也有提供像是 picoCTF 一樣的 webshell 可以做練習。

https://ithelp.ithome.com.tw/upload/images/20250918/201787925BMJ66d2Eg.png

不過 pwnBox 的體驗上一定會比你在虛擬機操作還要卡,不過好處就是不用處理網路環境跟工具問題,大家可以自行評估。

分享我的配置

我的筆電是使用 MacBook Pro M4

在我開始玩資安時,我一直以來用的軟體都是 VMware,從 Windows 到 macOS 都是。

但是我有一個習慣,我喜歡將 VM 開在背景,之後從本機 SSH 過去操作,因為大多的工具都是透過 shell 操作就好,需要 GUI 的工具在 Mac 上都可以安裝。這樣下來的體驗,不會被虛擬機的卡頓或是按鍵延遲等等造成困擾。

但是之前因為要練習反彈 shell 的題目,我被迫一定要把 VPN 切給虛擬機,然後從虛擬機內操作。

後來被白兔推坑了好用的工具,在這邊也想分享給大家。

OrbStack

我從很早以前就知道這個工具,當時只想到它 better than Docker,但我都把它拿來當攻擊機用 xD

你可以直接在 OrbStack 內創建一個 Kali 的 image,然後透過 SSH 連上,出去和進來都會走同一張網卡,所以不用再因為 VPN 問題感到困擾,是一個對新手很友善的工具!

後面有機會會整理一份我怎麼使用 OrbStack 替代 VMware 的文章,大家可以多關注我的 Blog

今日份就先到這邊!要比 HITCON 了好緊張 ><


上一篇
[Day 3] 駭入。箱子。
下一篇
[Day 5] 基本工具使用 - 連線篇
系列文
帶著筆電勇闖從零開始的滲透測試異世界10
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言