1.4~5
This commit is contained in:
wizardforcel
parent
e84c549a23
commit
9370e077a4
60
ch1.md
60
ch1.md
|
|
@ -133,3 +133,63 @@ Ubuntu Server 是一个易于使用的 Linux 发行版,可用于托管网络
|
|||
|
||||
Ubuntu Server 没有 GUI,是特地的命令行驱动。 为了有效地使用它,建议你使用SSH。 为了配置和使用SSH,请参阅本节后面的“配置和使用SSH”秘籍。
|
||||
|
||||
## 1.4 安装 Metasploitable2
|
||||
|
||||
Metasploitable2 是一个故意存在漏洞的 Linux发行版,也是一个高效的安全培训工具。它充满了大量的漏洞网络服务,还包括几个漏洞 Web 应用程序。
|
||||
|
||||
### 准备
|
||||
|
||||
在你的虚拟安全实验室中安装 Metasploitable2 之前,你首先需要从Web下载它。有许多可用于此的镜像和 torrent。获取 Metasploitable 的一个相对简单的方法,是从 SourceForge 的 URL 下载它:`http://sourceforge.net/projects/metasploitable/files/Metasploitable2/`。
|
||||
|
||||
|
||||
### 操作步骤
|
||||
|
||||
Metasploitable2 的安装可能是你在安全环境中执行的最简单的安装之一。这是因为当从 SourceForge 下载时,它已经准备好了 VMware 虚拟机。下载 ZIP 文件后,在 Windows 或 Mac OS X 中,你可以通过在 Explorer 或 Finder 中双击,分别轻松提取此文件的内容。看看下面的截图:
|
||||
|
||||
|
||||
|
||||
解压缩之后,ZIP 文件会返回一个目录,其中有五个附加文件。 这些文件中包括 VMware VMX 文件。 要在 VMware 中使用 Metasploitable,只需单击`File `下拉菜单,然后单击`Open`。 然后,浏览由ZIP提取过程创建的目录,并打开`Metasploitable.vmx`,如下面的屏幕截图所示:
|
||||
|
||||
|
||||
|
||||
一旦打开了 VMX 文件,它应该包含在你的虚拟机库中。 从库中选择它并单击`Run`来启动VM,你可以看到以下界面:
|
||||
|
||||
|
||||
|
||||
VM加载后,会显示启动屏幕并请求登录凭据。 默认登录凭证的用户名和密码是`msfadmin`。 此机器也可以通过SSH访问,在本节后面的“配置和使用SSH”中会涉及。
|
||||
|
||||
### 工作原理
|
||||
|
||||
Metasploitable 为安全测试教学的目的而建立。 这是一个非常有效的工具,但必须小心使用。 Metasploitable 系统不应该暴露于任何不可信的网络中。 不应该为其分配公共可访问的IP地址,并且不应使用端口转发来使服务可以通过网络地址转换(NAT)接口访问。
|
||||
|
||||
## 1.5 安装 Windows Server
|
||||
|
||||
在测试环境中安装 Windows 操作系统对于学习安全技能至关重要,因为它是生产系统中使用的最主要的操作系统环境。所提供的场景使用 Windows XP SP2(Service Pack 2)。由于 Windows XP 是较旧的操作系统,因此在测试环境中可以利用许多缺陷和漏洞。
|
||||
|
||||
### 准备
|
||||
|
||||
要完成本教程中讨论的任务和本书后面的一些练习,你需要获取 Windows 操作系统的副本。如果可能,应该使用 Windows XP SP2,因为它是在编写本书时使用的操作系统。选择此操作系统的原因之一是因为它不再受微软支持,并且可以相对容易地获取,以及成本很低甚至无成本。但是,由于不再支持,您需要从第三方供应商处购买或通过其他方式获取。这个产品的获得过程靠你来完成。
|
||||
|
||||
### 操作步骤
|
||||
|
||||
从 Windows XP 映像文件启动后,会加载一个蓝色菜单屏幕,它会问你一系列问题,来指导你完成安装过程。一开始,它会要求你定义操作系统将安装到的分区。除非你对虚拟机进行了自定义更改,否则你只能在此处看到一个选项。然后,你可以选择快速或全磁盘格式。任一选项都应可以满足虚拟机。一旦你回答了这些初步问题,你将收到有关操作系统配置的一系列问题。然后,你会被引导到以下屏幕:
|
||||
|
||||
|
||||
|
||||
首先,你会被要求提供一个名称和组织。 该名称分配给已创建的初始帐户,但组织名称仅作为元数据而包含,对操作系统的性能没有影响。 接下来,会要求你提供计算机名称和管理员密码,如以下屏幕截图所示:
|
||||
|
||||
|
||||
|
||||
如果你要将系统添加到域中,建议你使用唯一的计算机名称。 管理员密码应该是你能够记住的密码,因为你需要登录到此系统以测试或更改配置。 然后将要求你设置日期,时间和时区。 这些可能会自动填充,但确保它们是正确的,因为错误配置日期和时间可能会影响系统性能。 看看下面的截图:
|
||||
|
||||
|
||||
|
||||
配置时间和日期后,系统会要求你将系统分配到工作组或域。 本书中讨论的大多数练习可以使用任一配置执行。 但是,有一些远程 SMB 审计任务,需要将系统加入域,这会在后面讨论。 以下屏幕截图显示`Help Protect your PC `窗口:
|
||||
|
||||
|
||||
|
||||
安装过程完成后,系统将提示你使用自动更新保护您的电脑。 默认选择是启用自动更新。 但是,由于我们希望增加我们可用的测试机会,我们将选择`Not right now `选项。
|
||||
|
||||
### 工作原理
|
||||
|
||||
Windows XP SP2 对任何初学者的安全环境,都是一个很好的补充。 由于它是一个较旧的操作系统,它提供了大量的可用于测试和利用的漏洞。 但是,随着渗透测试领域的技术水平的提高,开始通过引入更新和更安全的操作系统(如Windows 7)来进一步提高你的技能是非常重要的。
|
||||
|
|
|
|||
Loading…
Reference in New Issue