目錄
Kali Linux Web 渗透测试秘籍 中文版
第一章 配置 Kali Linux
第二章 侦查
第三章 爬虫和蜘蛛
第四章 漏洞发现
第五章 自动化扫描
第六章 利用 -- 低悬的果实
第七章 高级利用
第八章 中间人攻击
第九章 客户端攻击和社会工程
第十章 OWASP Top 10 的预防
1.1
1.2
1.3
1.4
1.5
1.6
1.7
1.8
1.9
1.10
1.11
2
Kali Linux Web 渗透测试秘籍 中文版
Kali Linux Web 渗透测试秘籍 中文版
原书:Kali Linux Web Penetration Testing Cookbook
译者:飞龙
在线阅读
PDF格式
EPUB格式
MOBI格式
Github
Git@OSC
赞助我
协议
CC BY-NC-SA 4.0
3
第一章 配置 Kali Linux
第一章 配置 Kali Linux
作者:Gilberto Najera-Gutierrez
译者:飞龙
协议:CC BY-NC-SA 4.0
简介
在第一章中,我们会涉及如何准备我们的 Kali 以便能够遵循这本书中的秘籍,并使用虚拟机
建立带有存在漏洞的 Web 应用的实验室。
1.1 升级和更新 Kali
在我们开始 Web 应用安全测试之前,我们需要确保我们拥有所有必要的最新工具。这个秘籍
涉及到使 Kali 和它的工具保持最新版本的基本步骤。
准备
我们从 Kali 已经作为主操作系统安装到计算机上,并带有网络连接来开始。这本书中所使用
的版本为 2.0。你可以从 https://www.kali.org/downloads/ 下载 live CD 和安装工具。
操作步骤
一旦你的 Kali 实例能够启动和运行,执行下列步骤:
1. 以 root 登录 Kali。默认密码是 toor,不带双引号。你也可以使用 su 来切换到该用户,
或者如果喜欢使用普通用户而不是 root 的话,用 sudo 来执行单条命令。
2. 打开终端。
3. 运行 apt-get update 命令。这会下载可用于安装的包(应用和工具)的更新列表。
apt-get update
4
第一章 配置 Kali Linux
4. 一旦安装完成,执行下列命令来将非系统的包更新到最新的稳定版。
apt-get upgrade
5. 当被询问是否继续时,按下 Y 并按下回车。
6. 下面,让我们升级我们的系统。键入下列命令并按下回车:
apt-get dist-upgrade
5
第一章 配置 Kali Linux
7. 现在,我们更新了 Kali 并准备好了继续。
工作原理
这个秘籍中,我们涉及到了更新基于 Debian 的系统(比如 Kali)的基本步骤。首先
以 update 参数调用 apt-get 来下载在所配置的仓库中,用于我们的特定系统的包的最新列
表。下载和安装仓库中最新版本的所有包之后, dist-update 参数下载和安装 upgrade 没有安
装的系统包(例如内核和内核模块)。
这本书中,我们假设 Kali 已经作为主操作系统在电脑上安装。也可以将它安装在虚拟机
中。这种情况下,要跳过秘籍“安装 VirtualBox”,并按照“为正常通信配置虚拟机”配置
Kali VM 的网络选项。
更多
有一些工具,例如 Metasploit 框架,拥有自己的更新命令。可以在这个秘籍之后执行它们。
命令在下面:
msfupdate
1.2 安装和运行 OWASP Mantra
OWASP(开放 Web 应用安全项目,https://www.owasp.org/)中的研究员已经将 Mozilla
FIrefox 与 大量的插件集成,这些插件用于帮助渗透测试者和开发者测试 Web 应用的 bug 或
安全缺陷。这个秘籍中,我们会在 Kali 上安装 OWASP
Mantra(http://www.getmantra.com/),首次运行它,并查看一些特性。
大多数 Web 应用渗透测试都通过浏览器来完成。这就是我们为什么需要一个带有一组工具的
浏览器来执行这样一个任务。OWASP Mantra 包含一系列插件来执行任务,例如:
6
第一章 配置 Kali Linux
嗅探和拦截 HTTP 请求
调试客户端代码
查看和修改 Cookie
收集关于站点和应用的信息
准备
幸运的是, OWASP Mantra 默认包含于 Kali 的仓库中。所以,要确保我们获得了浏览器的最
新版本,我们需要更新包列表:
apt-get update
操作步骤
1. 打开终端并执行:
apt-get install owasp-mantra-ff
2. 在安装完成之后,访问菜
单: Applications | 03 - Web Application Analysis | Web Vulnerability Scanners | owasp-mantra-ff
来首次启动 Mantra。或者在终端中输入下列命令:
owasp-mantra-ff
7
第一章 配置 Kali Linux
3. 在新打开的浏览器中,点击 OWASP 图标之后点击 Tools 。这里我们可以访问到所有
OWASP Mantra 包含的工具。
4. 我们会在之后的章节中使用这些工具。
8