翻譯來自:掣雷小組
成員信息:
thr0cyte,Gr33k,花花,小丑,R1ght0us,7089bAt,
第一章內容大綱
一.配置KALI Linux和滲透測試環境
在這一章,我們將覆蓋以下內容:
- 1.1 在Windows和Linux上安裝VirtualBox
- 1.1 創建一個Kali Linux虛擬機
- 1.1 更新和升級Kali Linux
- 1.2 爲滲透測試配置web瀏覽器(即在Firefox瀏覽器下安裝一些常用的插件)
- 創建一個屬於自己的靶機
- 配置網絡使虛擬機正常通信
- 瞭解靶機上易受攻擊的web應用程序
1.2、爲滲透測試配置web瀏覽器(即在Firefox瀏覽器下安裝一些常用的插件)
大多數web滲透測試都是在客戶端進行的,也就是在web瀏覽器中。因此,我們需要配置我們的瀏覽器,使它成爲一個對我們有用的工具。在這個“祕籍”中,我們將添加幾個插件到默認安裝在Kali Linux中的Firefox瀏覽器上。
怎麼做……
Firefox是一個非常靈活的瀏覽器,非常適合用來web滲透測試,並且他默認安裝在Kali Linux中。我們需要稍微定製一下,可以使用以下步驟:
1. 打開Firefox,進入菜單中的附加組件:
2. 在搜索框中,輸入wappalyzer查找我們將要安裝的第一個插件:
3. 單擊Wappalyzer插件中的Install安裝。您可能還需要確認安裝。
4. 接下來,我們搜索FoxyProxy。
5. 點擊安裝。
6. 現在搜索並安裝Cookies Manager+。
7. 搜索並安裝HackBar。
8. 搜索並安裝HttpRequester。
9. 搜索並安裝RESTClient。
10. 搜索並安裝User-Agent Switcher。
11. 搜索並安裝Tampermonkey。
12. 搜索並安裝Tamper Data and Tamper Data Icon Redux.
13. 安裝的擴展列表如下圖所示:
他們是如何工作的…
到目前爲止,我們已在web瀏覽器中安裝了一些工具,但這些工具在滲透測試web應用程序時的功能是什麼呢?安裝的插件介紹如下:
- HackBar:一個非常簡單的插件,可以幫助我們嘗試不同的輸入值,而無需更改或重寫完整的URL。在手工檢查跨站點腳本編寫和注入時,我們將經常使用這種方法。它可以使用F9鍵激活。
- cookie Manager+:這個附加組件允許我們查看和修改瀏覽器從應用程序接收到的cookie的值。
- User-Agent Switcher:此插件允許我們修改用戶代理字符串(瀏覽器標識符),該字符串在發送到服務器的所有請求中。應用程序有時使用這個字符串顯示或隱藏某些元素,這取決於所使用的瀏覽器和操作系統。
- Tamper Data:這個附加組件能夠捕獲瀏覽器發送給服務器的任何請求,讓我們有機會在應用程序的表單中引入數據併到達服務器之前修改數據。Tamper Data Icon Redux只添加一個圖標。
- FoxyProxy Standard:一個非常有用的插件,允許我們使用用戶提供的預設,在一次點擊中改變瀏覽器的代理設置。
- Wappalyzer:這是一個用來識別網站中使用的平臺和開發工具的工具。這對於提取web服務器及其使用的軟件非常有用。
- HttpRequester:使用這個插件,可以處理HTTP請求,包括get、post和put方法,並觀察來自服務器的原始響應。
- RESTClient:這基本上是一個像HTTP請求者一樣的請求生成器,但主要關注REST web服務。它包括添加標題、不同的身份驗證模式以及get、post、put和delete方法的選項。
- Tampermonkey:這個插件允許我們在瀏覽器中安裝用戶腳本,並在加載之前或之後對web頁面內容進行動態更改。從滲透測試的角度來看,這有助於繞過客戶端控件和其他客戶端代碼操作。
其他
其他對web應用程序滲透測試有用的插件如下:
- XSS Me
- SQL Inject Me
- iMacros
- FirePHP
作者注:幾個老哥們也都在辛苦的做着翻譯,也深知很多地方整理的不太妥當,各位多擔待吧,但是學起來我覺着還是沒問題的,我學懂了,你們吶~?