【滲透測試LAB】建立環境 Kali 2023、Metasploitable
本篇滲透測試環境建置
欲建立3台VM如下說明:
- Linux 的 Kali :擁有超過600項預裝滲透測試程式,包括 Armitage(圖形化網路攻擊管理工具)、 Nmap(端口服務掃描工具)、Wireshark(封包分析工具)、 Aircrack-ng、 Burp Suite 和 OWASP ZAP 網路應用程式安全掃描器等(詳細介紹WIKI)。 而本篇採用 2023.3年版本。
- Metasploitable:是一個以Linux系統的為基底的VM,本篇採用2.0版本
- Windows 10 :微軟所提供用於測試使用的版本。
本次建立環境如下圖所示,將以Kali為攻擊者,來針對Metasploitable與Windows 10的VM進行練習。
本次三台VM均要在「網路」中,選擇「NAT 網路(NAT NETWORK)」,才能建立共用網路喔!
詳細設定流程,可參照下方VirtualBox設定畫面。
1.設定VirtualBox NAT Network
Step1. 點選「工具」,再點選「網路」。
Step2. 點選「內容」,再點選「NAT Networks」,並右鍵新增網路。
Step3. 完成NAT Network設定後,即可點選「對應VM(使用者預計使用的VM)」,再點選「設定」,並於「網路」項目中啟用選用的NAT Network。
2.下載Kail
Kail下載資訊:https://www.kali.org/get-kali/#kali-virtual-machines
欲使用VM系列,請點選欲採用的VM平台(例如: VMware、VirtualBox等),如下所示。
若要採用Vagrant部屬Kali,指令如下(此指令是下載最新版本)。
vagrant init kalilinux/rolling
vagrant up2.安裝Kali於VirtualBox VM
本次使用VirtualBox VM系統,其匯入Kali系統檔案至VirtualBox步驟,請參考下方流程圖說明。
Step1.先解壓縮官方下載的壓縮檔案,如下圖所示。
Step2.匯入Kali檔案至VirtualBox
Step3.完成匯入Kali
Step4.啟動VirtualBox VM上的Kali系統
***請注意目前kali 2021 - Kali 2023.3起預設帳號密碼與過去2020版本有變動,請參考如下最新預設值:
預設 Kail帳號及密碼: kali/kali登入後,可開啟Kali終端機,並執行以下3項指令進行更新(此部分並非必要,依使用者需求自行判斷即可):
#apt-get update#apt-get dist-upgrade
這個功能,除了是升級現有已安裝的套件及其相依套件外,還會把系統最近一次的
「建議安裝套件」也一併給安裝起來#updatedb
更新相關資料庫
3.Metasploitable
Metasploitable下載:https://sourceforge.net/projects/metasploitable/
Metasploitable是提供已壓縮完成檔案,供使用者下載後進行解壓縮,再匯入VM中即可執行。
Metasploitable帳號及密碼:msfadmin/msfadmin
關機語法:sudo poweroff4.Windows 10
Window10 VM 下載:https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/
預設密碼為" Passw0rd! ",注意是0(數字)以及!(符號是密碼的一部分)。
而Window10 VM的資料是佔最大的空間,建議可先行下載,以加入後續匯入的時間。
綜上就完成本次要建立的滲透測試LAB所需的三項環境(Kali、Metasploitable、W10)了。
另外,若對網頁安全有興趣,可下載OWASP 所提供的環境來練習。
5.OWASP Project
OWASP Broken Web Applications Project下載: https://sourceforge.net/projects/owaspbwa/
若要停止ping的目標,請Ctrl+C即可停止。
參考資料:
1.Kali Linux: https://zh.wikipedia.org/wiki/Kali_Linux
