今天要來先準備好一些工具，以便我們之後練習題目時不用再另外設定。

先備知識 🍘

• 基礎的 Linux 操作（會移動到不同目錄、知道自己身份、看檔案等）
• 基礎的 Web Security（path traversal、webshell、CMD injection等）
• 基礎的網路概念

其餘部分就是我們要介紹的部分啦，但是還是需要先對這些熟悉，後面文章提到就不再多做敘述。

攻擊機器

相信身為資安人，常用電腦內一定有一款以上的虛擬機軟體吧。
不論是 VMware、VirtualBox、UTM等。
可以準備一台 Kali 的虛擬機，在後續的分享上，工具會比較齊全！

VPN

HackTheBox 的 VPN 都是使用 OpenVPN，只要下載他們的 config，然後匯入進去就可以直接連線了！

VPN 都會在練習題上方可以下載，Academy 的 VPN 只有一份，所以只需要載一次就好。

⚠️注意事項

如果你想要在虛擬機內打靶機的話，在沒有額外設定下（虛擬機走 NAT），請記得把 VPN 開在虛擬機內，以免在需要監聽反彈 shell 時出現問題。

額外方法

如果你的電腦不允許你再多裝虛擬機的話，HackTheBox 也有提供像是 picoCTF 一樣的 webshell 可以做練習。

不過 pwnBox 的體驗上一定會比你在虛擬機操作還要卡，不過好處就是不用處理網路環境跟工具問題，大家可以自行評估。

分享我的配置

我的筆電是使用 MacBook Pro M4

在我開始玩資安時，我一直以來用的軟體都是 VMware，從 Windows 到 macOS 都是。

但是我有一個習慣，我喜歡將 VM 開在背景，之後從本機 SSH 過去操作，因為大多的工具都是透過 shell 操作就好，需要 GUI 的工具在 Mac 上都可以安裝。這樣下來的體驗，不會被虛擬機的卡頓或是按鍵延遲等等造成困擾。

但是之前因為要練習反彈 shell 的題目，我被迫一定要把 VPN 切給虛擬機，然後從虛擬機內操作。

後來被白兔推坑了好用的工具，在這邊也想分享給大家。

OrbStack

我從很早以前就知道這個工具，當時只想到它 better than Docker，但我都把它拿來當攻擊機用 xD

你可以直接在 OrbStack 內創建一個 Kali 的 image，然後透過 SSH 連上，出去和進來都會走同一張網卡，所以不用再因為 VPN 問題感到困擾，是一個對新手很友善的工具！

後面有機會會整理一份我怎麼使用 OrbStack 替代 VMware 的文章，大家可以多關注我的 Blog！

今日份就先到這邊！要比 HITCON 了好緊張 ><