我需要使用 VmWare Workstation 为 WEB 应用程序构建一个渗透测试实验室。我需要知道应该怎么做或者我该怎么做。我还需要做以下标准: 1. 提出 Peneteraion 测试实验室的一般架构 2. 建立 Peneteraion 测试实验室所需的软件类型 3. Peneteraion 测试的不同组件详细信息 4. 所有配置和步骤建立 Penteraion 测试实验室
问问题
835 次
3 回答
0
有很多方法可以建立一个渗透实验室。我开始时所做的是
- 设置渗透测试Linux发行版(在你的情况下应该是kali)
- 要攻击的 Windows Vista 机器
- vista机器的备份(以防我破坏它)VMWare中有一个功能可以做到这一点
您可以设置不同类型的机器,因此如果您想攻击 Web 服务器而不是机器,您可以这样做。您可以自己玩的机器的所有配置
这是一个广泛的问题,所以我只能提供个人经验
于 2015-03-05T11:38:14.537 回答
0
要学习 Web 应用程序渗透测试,您可以使用易受攻击的 vm,可在vulnhub 网站上找到
我强烈建议您查看上面提到的网站,在那里您可以下载易受攻击的 vm 和 iso 映像,您可以在其中玩耍。如果您计划建立完整的渗透测试实验室,涵盖易受攻击的应用程序和系统,这 是最好的路线图。
于 2015-08-19T12:26:04.850 回答
0
我们称它为 Web 应用程序CTF。
在开始考虑应该在哪个服务器上运行 CTF 之前,您需要执行以下步骤:
1. 选择您的 CTF 级别。 请注意,最容易构建的 CTF 是最难的。
2. 创建漏洞数据库 -不要让 CTF 的级别影响您的数据库。
3. 构建机器故事。这是您的 CTF 级别和漏洞数据库相互交汇的地方。
你确实可以拿一个普通的容易的漏洞比如 XSS 让它完全难找,但你也可以拿更高级的漏洞比如 XXE 让它变得简单。所以机器故事是最重要的部分。在机器的故事部分,您还可以决定是否要在机器上设置兔子洞。
4.选择应用服务器
考虑漏洞数据库以及最好在哪个服务器上实施它们。
5. 选择操作系统
在哪个操作系统上最容易管理您的应用程序服务器和数据库?
6. 构建前端
您可以选择一个网站模板,也可以自己构建一个,没关系。
7. 构建后端
在这部分中,您需要注意构建它所使用的工具。尽量不要使用更安全的最新工具,记住你希望你的机器可以被黑客入侵。
8. 实施漏洞
在您拥有一个功能齐全的网站之后,现在是在您的数据库中实施所有漏洞的时候了。
9.写一篇文章
重要的是,最好有一个,无论如何。
10. 在你提供帮助的同时让人们解决你的 CTF
你在这里的任务很简单。了解事情:
A.机器故事有计划吗?(这意味着他们不能跳过漏洞来解决机器)
B.他们是 CTF 中的任何错误吗?
请记住,如果有人找到了一种不同的方法来破解您的 CTF,这不是一个错误,而是一个功能。
希望本指南对您有所帮助,祝您好运。
于 2020-07-15T16:20:35.050 回答