metasploitable平台搭建

0：下载，安装

sourceforge上搜索metasploitable，下载后安全至virtualbox

1：启动，进入(注意网卡设置为bridged mode)

uname:msfadmin
pword:msfadmin

2：查看服务

ifconfig查看meta服务器ip,然后在kali机器上访问meta机的web服务，可以看到meta机有以下服务

#都是基于apache的tomcat web服务器 （/var/www）
TWiki     #twiki.org
phpMyAdmin  #www.phpmyadmin.net
Mutillidae  #sourceforge.net/projects/mutillidate/
DVWA      #github.com
WebDAV     #webdav.com

3：安全MCIR训练靶场（Maglcal Code Injection RainBow）

#包含5个训练套件
SQLol
XMLmao
XSSmh
CryptOMG
wget https://github.com/SpiderLabs/MCIR/archive/master.zip
unzip master.zip 
mv MCIR-master /var/www/mcir
cd /var/www
vim index.php
#加入如下内容即可
 Magical Code Injection Rainbow
#再次在kali机上访问meta机的web服务，得到如下界面

3:渗透测试的5个基本过程（生命周期）（penetration test lifecycle）

1. 侦查 reconnaissance
2. 扫描 scanning
3. 渗透 exploitation
4. 维持访问 maintaining access
5. 报告 reporting