Kali Linux Web滲透測試手冊(第二版) --- 安裝kali及一些瀏覽器外掛
前言:
Kali Linux Web Penetration Testing Cookbook這本手冊第一章講的是如何安裝kali和測試環境,對於kali安裝網上有太多教程了,沒什麼難的,我就將我安裝流程貼出來,畢竟原版安裝的是英文版kali,如果有啥問題,度娘是最好的解決。然後我發現這章有趣的地方是給Firefox安裝一些web滲透必要的一些外掛。 下面這個是第一章的總目錄,我主要整理了給Firfox安裝外掛,以及外掛的功能介紹,剩下的就是安裝kali 以及更新kali。
建立KALI Linux和測試環境
在這一章,我們將覆蓋以下內容:
l Installing VirtualBox on Windows and Linux
l Creating a Kali Linux virtual machine
l Updating and upgrading Kali Linux
l Configuring the web browser for penetration testing
l Creating a vulnerable virtual machine
l Creating a client virtual machine
l Configuring virtual machines for correct communication
l Getting to know web applications on a vulnerable virtual machine
第一步 :安裝vmware虛擬機器
下載地址:https://www.vmware.com/cn/products/workstation-pro/workstation-pro-evaluation.html
原本想下載下來放到百度雲,然後一步步指導安裝。但是網太卡,索性大家就從官網上下載吧,也沒什麼難的,實在有什麼問題去找 -à 萬能的度娘吧。
第二步 :安裝kali系統
下載地址:
從官網上面下載吧,這本指導手冊是基於2018.x 版本,Kali 每年都會更新,具體更改細節去看官方文件吧。之前就有2018.2版本的kali 就將安裝步驟給整理下來了,沒什麼難的,kali支援中文,基本上都能看的懂,直接看圖就好了:
看到最後一張圖片就說明你成功安裝上了kali, 趕緊登陸進去開始下一步的操作吧......
第三步 :更新源
- 更改kali為國內源:開啟原始檔,在終端輸入 leafpad /etc/apt/sources.list
2.選擇一個kali國內源複製貼上儲存,源地址如下:
#中科大
deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib
deb-src http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib
#阿里雲
deb http://mirrors.aliyun.com/kali kali-rolling main non-free contrib
deb-src http://mirrors.aliyun.com/kali kali-rolling main non-free contrib
#清華大學
deb http://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main contrib non-free
deb-src https://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main contrib non-free
#浙大
deb http://mirrors.zju.edu.cn/kali kali-rolling main contrib non-free
deb-src http://mirrors.zju.edu.cn/kali kali-rolling main contrib non-free
#東軟大學
deb http://mirrors.neusoft.edu.cn/kali kali-rolling/main non-free contrib
deb-src http://mirrors.neusoft.edu.cn/kali kali-rolling/main non-free contrib
#官方源
deb http://http.kali.org/kali kali-rolling main non-free contrib
deb-src http://http.kali.org/kali kali-rolling main non-free contrib
3.在終端輸入下面一句話,安裝並更新所有:
apt-get update && apt-get upgrade && apt-get dist-upgrade
第四步 :針對web滲透,在Firefox瀏覽器下安裝一些必要的外掛
Configuring the web browser for penetration testing
Firefox是一個非常靈活的瀏覽器,非常適合web滲透測試的目的;它還預裝在Kali Linux中。我們稍微定製一下,讓它更好地使用下面的步驟
- 開啟Firefox,進入選單中的附件:
2.在搜尋框中,輸入wappalyzer查詢我們將要安裝的第一個外掛:
3.單擊Wappalyzer外掛中的Install安裝。您可能還需要確認安裝。
4.接下來,我們搜尋FoxyProxy。
5.點選安裝。
6.現在搜尋並安裝Cookies Manager+。
7.搜尋並安裝HackBar。
8.搜尋並安裝HttpRequester。
9.搜尋並安裝RESTClient。
10.搜尋並安裝User-Agent Switcher。
11.搜尋並安裝Tampermonkey。
12.搜尋並安裝Tamper Data and Tamper Data Icon Redux.
13.安裝的擴充套件列表如下圖所示:
他們是如何工作的…
到目前為止,我們已在web瀏覽器中安裝了一些工具,但這些工具在穿透測試web應用程式時的功能是什麼呢?安裝的外掛介紹如下:
l HackBar:一個非常簡單的附加元件,可以幫助我們嘗試不同的輸入值,而無需更改或重寫完整的URL。在手工檢查跨站點指令碼編寫和注入時,我們將經常使用這種方法。它可以使用F9鍵啟用。
l cookie Manager+:這個附加元件允許我們檢視和修改瀏覽器從應用程式接收到的cookie的值。
l User-Agent Switcher:此外掛允許我們修改使用者代理字串(瀏覽器識別符號),該字串在傳送到伺服器的所有請求中。應用程式有時使用這個字串顯示或隱藏某些元素,這取決於所使用的瀏覽器和作業系統。
l Tamper Data:這個附加元件能夠捕獲瀏覽器傳送給伺服器的任何請求,讓我們有機會在應用程式的表單中引入資料併到達伺服器之前修改資料。Tamper Data Icon Redux只新增一個圖示。
l FoxyProxy Standard:一個非常有用的擴充套件,允許我們使用使用者提供的預設,在一次點選中改變瀏覽器的代理設定。
l Wappalyzer:這是一個用來識別網站中使用的平臺和開發工具的工具。這對於提取web伺服器及其使用的軟體非常有用。
l HttpRequester:使用這個工具,可以處理HTTP請求,包括get、post和put方法,並觀察來自伺服器的原始響應。
l RESTClient:這基本上是一個像HTTP請求者一樣的請求生成器,但主要關注REST web服務。它包括新增標題、不同的身份驗證模式以及get、post、put和delete方法的選項。
l Tampermonkey:這個擴充套件允許我們在瀏覽器中安裝使用者指令碼,並在載入之前或之後對web頁面內容進行動態更改。從滲透測試的角度來看,這有助於繞過客戶端控制元件和其他客戶端程式碼操作。
其他
其他對web應用程式滲透測試有用的附加元件如下:
l XSS Me
l SQL Inject Me
l iMacros
l FirePHP
------------------------------接收最新訊息,趕緊關注我的微訊號吧-----------------------