“黑客”必用基础工具之“虚拟机软件详解”
"虚拟机"这个软件,我相信大家都有听说过,但是可能有很多朋友并没有使用过。今天如果你是一个IT从业者或者对于IT 技术非常感兴趣的小伙伴或者想成为一名黑客,那么这个工具一定要学会使用。因为想成为一名黑客,一定要做大量的攻防实验,为了降低实验风险,通常实验环境都是利用虚拟机搭建完成的。
所以今天就以本篇文章内容介绍一下虚拟机的基本使用方法以及如何用虚拟机搭建基本的安全攻防环境。
一、 虚拟机的使用方法
1、 基本定义
虚拟机通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统,它能模拟出一个或多个电脑并安装各自的操作系统和软件,互不干扰。虚拟机下的系统与你电脑系统无关,可以安装任意系统,如windows、linux、UNIX等。一般使用虚拟机系统可以用来测试黑客木马、病毒不影响你自身的系统。可以用来模拟多个终端组建网络,搭建网络攻防。
2、 使用方法
现在主流的虚拟机软件有两个,一个是VMware Workstation,另一个是VirtualPC Workstation。这两个软件有很多不同点。比如,VirtualPC操作比较简单,对于初学者,这是一个很好操作的软件,但是缺点是功能少。而VMware的功能比较强大,它支持Linux,具有:快照、捕捉屏幕、捕捉视频等功能。
今天我们主要以VMware Workstation虚拟机软件,安装Kali Linux系统为例进行阐述。
Kali Linux 是什么?
如果你听到一个 13 岁的黑客吹嘘他是多么的牛逼,是有可能的,因为有 Kali Linux 的存在。尽管有可能会被称为"脚本小子",但是事实上,Kali 仍旧是安全专家手头的重要工具(或工具集)。
Kali 是一个基于 Debian 的 Linux 发行版。该系统里包含了很多渗透和审计工具。大多数做安全测试的开源工具都被囊括在内。
是不是大家看到这里有点迫不及待的想下载下来安装用用啊?好的,接下来介绍一下如何用VMware Workstation虚拟机软件安装Kali Linux系统:
(一)、下载系统镜像文件
1) 首先下载系统镜像,进入kali官网,在Downloads中选择Download Kali Linux,如下图所示。
2) 根据电脑配置选择合适的版本,在这里我选择的是64位版本,点击HTTP下载镜像文件。
(二)、创建新的虚拟机
1) 打开VMware Workstation,创建新的虚拟机,我们使用自定义的配置方法。
2) 导入系统镜像文件。
3) 选择客户机操作系统及版本。
4) 输入虚拟机的名称和安装位置。
5) 点击下一步直至出现以下界面。为虚拟机分配内存,建议不要超过提示的最大推荐内存,这里分配2GB。
6) 继续点击下一步,使用推荐选项,直至出现磁盘容量分配。一定要比建议分配容量大!一定要比建议分配容量大!一定要比建议分配容量大!否则后面安装时会卡在奇怪的地方。
选择将虚拟磁盘存储为单个文件。
(三)Kali Linux安装方法
1.开启虚拟机,进入安装界面,选择图形界面安装(Graphical install)。
2.自定义主机名。
3.按如下步骤进行。
4.这个时候可能会出现错误,如果没有错误,直接跳到第8步。
5.重启计算机,进入BIOS(我的是HP)
6.将Virtualization Technology改为Enable
7.保存并退出,重启后打开虚拟机,重新进行安装Kali Linux操作。
8.等待系统安装。如果配置虚拟机时分配磁盘空间不足,这个时候可能会卡死。
9.经过漫长的等待后,选择将GRUB安装至硬盘。
10.大功告成。
11.重启虚拟机后进入系统,输入用户名和密码,用户名默认为root
二、 如何用虚拟机搭建基本的安全攻防环境
安全攻防包含内容较多,咱们以利用虚拟机搭建渗透测试环境为例进行阐述,让大家学会如何利用虚拟机完成基本的实验测试。
1、所需条件:
VMware Workstation
Windows XP系统映像
Kali Linux虚拟映像
2、网络拓扑
3、安装步骤
步骤1:在VMware Workstation上运行Windows试用版操作系统
一旦我们下载并安装了VMware Workstation,下一步就是下载并安装Windows XP, Vista, Server 2003,因为这些系统有许多著名的安全问题。可以在链接下载到映像。
在下载了".iso"文件后,打开VMware Workstation,选择"File",单击"New virtual machine",选择下载好的".iso"文件。
按照屏幕上的指令在workstation上安装windwos XP。
点击"Customize Hardware"按钮,配置其它的设置选项,比如内存,USB设置等。RAM大小可以根据需要增加或减少。
如上图所示,选择"Power on this virtual machine after creation"选项,单击"Next"按钮。
步骤2:寻找并配置有漏洞的web应用程序
有很多有漏洞的应用程序,我们可以用来以学习为目的练习渗透测试。下面是一些应用程序:
基于PHP, Apache以及MySQL,需要安装到本地。
J2EE web 应用程序,需要在本地运行。
下面,我们将学习如何在虚拟机中安装有漏洞的运行程序。因为我们已经有了一个正在运行的Windwos XP虚拟机。我们将看到如何在该系统上运行有漏洞的应用程序。在这个练习中,我们将配置Damn Vulnerable Web Application (DVWA)。这个应用程序有若干基于web的漏洞,比如跨站脚本 (XSS), SQL注入, CSRF,命令注入等。
下面的步骤会帮你安装一个web服务器,并运行应用程序。
1、现在并安装XAMPP,对于Windows XP,可以在这里下载XAMPP。
2、一旦安装了XAMPP,到控制面板点击"Start"按钮,开启Apache和MySql服务。
3、在这里下载DVWA应用程序,解压文件到一个新的文件夹中,命名为"dvwa"。
4、打开"C:\xampp\htdocs"文件夹,把该文件夹里的内容移动到另外一个地方。
5、把"dvwa"文件夹拷贝到"C:\xampp\htdocs"目录。
6、在浏览器的地址栏中输入下面的内容并访问:
会显示一个数据库设置页面。
7、到"C:\xampp\htdocs\dvwa\config"文件夹下,用记事本打开"con;文件。
8、移除"db_password"的值,如下图所示.
9、回到浏览器,然后刷新页面,会显示一个登录页面。
10、输入默认的登录凭证,比如"admin/password",登录应用程序。
我们成功配置了一个web服务器并在其上安装了一个应用程序,现在我们通过Kali Linux或者BackTrack访问应用程序,访问http://ip-address-of-windows-xp-machine/dvwa,就可以开始攻击练习了。
当你通过Kali Linux或者BackTrack访问DVWA的时候,你可能会遇到"Access forbidden"错误,如下:
进入"c:\xampp\htdocs\dvwa"文件夹,打开"HTACCESS File",定位到"allow from"行,输入Kali Linux的IP地址,如下图所示:
再次访问URL,你可以看到DVWA的登录页面了。
步骤3:下载和安装Kali Linux
安装方法在以上章节描述过了,不再复述。
进入系统,先打开浏览器,访问在步骤二中创建的DVWA应用程序,完成攻击测试!
完成以上步骤我们利用虚拟机搭建的测试环境就完成了!