Metasploit渗透日记（一）

 

项目简介

1. 下载安装Kali Linux虚拟机
2. 下载安装OWASP BWA靶机镜像
3. 配置网络

      

项目要求

硬件要求：

1. PC一台，配置可能要好一些
2. （可选）路由器一个

 

软件要求

1. VMWare Workstation/Fusion
2. Kali Linux amd64位虚拟机镜像
3. OWASP Broken Web Apps VM

 

项目步骤

安装Kali Linux虚拟机

      到Kali Linux官方网站下载Kali Linux的系统镜像，下载的版本一般来讲是64位，其他设备安装根据芯片架构的不同选择相应的版本，有X86_64 bit、X86_32 bit、armhf、armel等。然后根据自己的需要下载不同的桌面环境，完整版或者是light轻量版本。下载后解压文件得到.iso镜像。

链接：

https://www.kali.org/downloads/

 

打开VMWare创建虚拟机，典型à填写镜像存储目录à操作系统选择Linux底下的Debian 8à给虚拟机配置名字、安装路径、硬件等信息à启动虚拟机并安装。

 

安装过程中需要完成一些设置：

1. 只用于学习的话分区直接使用新手配置（简单的分为一整个分区）。
2. 安装不要选择使用源来更新当前系统（因为默认的源地址网速很慢，最好安装以后修改源地址，再进行更新）。
3. 配置管理员用户名和密码。
4. 等等

无关紧要的东西可以一路回车略过。

 

安装好后，连接无线网，用浏览器复制好国内的Kali源。打开命令行使用如下代码打开源目录文件，并将复制好的源地址替换，几个都行。

 

leafpad /etc/apt/sources.list

 

修改完成使用如下代码更新系统，静等完成：

 

apt-get update && dist-upgrade

 

 

 

安装OWASP Broken Web Apps 虚拟机

      到OWasp官方网站可以看到右边栏有下载连接，下载文件在SourceForge.net上，又称SF.net，是国外的开源软件开发者进行开发管理的集中式场所。下载速度慢的可以使用“上网工具”。

 

             

图 OWASP BWA下载页面

Owasp BWA项目官方地址：

https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project

下载网址：

https://sourceforge.net/projects/owaspbwa/files/

 

目前最新的版本VM1.2，最后一次更新时间在2015年，虽然年久失修，但是功能尚在且功能强大。由于这本身就是一个VM虚拟机文件，下载完毕解压到自定义位置以后，点.vmx文件就可以使用了。默认的用户名和密码是root：owaspbwa，可以通过passwd命令修改。

 

 

配置网络

      对Owasp bwa项目了解的朋友一定知道，这个系统本身开放大量的漏洞用作渗透测试的学习和研究，因此使用桥接模式将虚拟机直接连接到网卡上是具有风险的行为，可以使用一个没有链接外网的路由器做中转。推荐使用NAT模式或者主机模式。

      使用推荐的主机模式，打开“编辑”-“虚拟机网络编辑器”，新建一个“HOST ONLY”的虚拟网卡，并勾选两个选项：1、将主机虚拟适配器连接到此网络；2、使用本地DHCP服务将IP地址分配给虚拟机。以上设置完成后，分别给两个虚拟机的虚拟机设置做修改：将网络适配器修改为host模式。

 

 

在Kali Linux虚拟机内使用浏览器打开靶机的ip地址，会打开如下网页：

 

图 OWASP BWA上运行的网页

可以依次点击查看各种方向的攻击网页是否可用。如遇到404等不可访问，检查网络配置。

到此结束。