Привет, я надеюсь ты хочешь оказаться в мире белых шляп? Это ребята которые находят уязвимости в компьютерных системах и передают их разработчикам, чтобы те сделали мир безопаснее. Это Этичные хакеры.
Мы начинаем твой путь. Наберись терпением, у нас будет мало теории много практики, подписывайся на блок и жди новые статьи. Мы 🚀
1. Для того чтобы мы могли что то хакать, нам нужно развернуть свой стенд (целевые машины) для их атаки. Для этого мы будем использовать виртуализацию.
Мы используем виртуальные машины, вместо реальных целевых машин. Это оправданно, без виртуализации нам бы понадобилось 3 физические машины и устройство их соединения по сети.
У нас будет 2 виртуальные машины и твой пк (хостовая машина):
Наша виртуальная сеть выглядит следующим образом, 3 машины соединены через виртуальный свитч, для наших исследований виртуализации более чем достаточно:
Существует несколько поставщиков систем виртуализации, Microsoft Hyper-V, Oracle VirtualBox и VMware Workstation Player. В рамках данной работы мы используем решение от VMware, т.к. у нас были виртуальные машины уже подготовленные под данную систему виртуализации.
Практика №1. Подготовка целевых машин
Мы будем использовать две готовых ОС с уязвимостями, это
- Metasploitable2
- OWASP Broken Web Applications Project
Проведём загрузку виртуальных машины с уязвимостями
Обе виртуалки расположены на файлхостинге sourceforge:
Ход выполнения практического задания №1
- Загрузите и разархивируйте обе виртуальные машины.
- Запустите VMware Workstation
- Выберите ”Открыть виртуальную машину”
4) Выберите загруженный файл
5) Можно было открыть другим способом, перейдите к распакованной папке OWASP Broken Web Applications Project, в нём находится множество файлов виртуальной машины. Для того чтобы запустить виртуальную машину, нажмите на OWASP Broken Web Apps.vmx
8) Вводим логин и пароль для Metasploitable2: msfadmin (при вводе пароля он не высвечивается).
9) После входа проверим как работает сеть на нашей виртуальной машине, введем команду ifconfig, мы видим наш адрес 192.168.86.177 (у вас будет другой).
10) Перейдём к OWASP Broken Web, вводим логин: root и пароль: owaspbwa (при вводе пароля он не высвечивается).
11) После входа тоже введем ifconfig, увидим что наша сеть работает.
12) Откройте браузер на вашей основной машине (она называется хостовой) и введите адрес Metasploitable2, в нашем случае это 192.168.86.177.
13) Сделайте тоже самое для OWASP Broken Web
Мы с вами развернули две целевые машины, надо помнить что не стоит работать с этими виртуальными машинами в рабочей сети, в них намеренно содержится большое количество уязвимостей.
Практика №2. Подготовка систем сбора информации
1. Загрузите Nmap выбрав вашу платформу
2) Процесс установки, есть два варианта
- Стандартная настройка
- Ручная настройка
nmap - это инструмент для сканирования сети и аудита безопасности, данное ПО с открытым исходным кодом и распространяется бесплатно.nmap - это консольный инструмент без интерфейса, однако есть версия с интерфейсом, она называется Zenmap, она идёт в комплекте с nmap как модуль и может быть выбрана при установке.
3) Прочтите лицензионное соглашение, если вы со всем согласны, нажмите “I Agree”.
4) Настройка модулей установки, можете установить всё по стандарту, а можете настроить. В данном курсе нам не понадобится генератор пакетов Nping, не понадобится сравнения результатов сканирования через Ndif. Но если вы их установите - ничего страшного не случится. Нажимаем Далее, до окончания установки.
5) После установки запустите “Командную строку Windows”. Нажмите Win + r и введите cmd. Или в поиске наберите cmd и выберите “Командная строка”.
6) Теперь вбейте команду nmap, если вам вывалится куча информации, значит nmap установлен успешно.
7) Введите команду zenmap и вы запустите графический интерфейс (GUI) nmap. Его можно запускать и с помощью ярлыка который был создан на рабочем столе. Далее мы не будем работать с GUI и вам советуем в рамках этого курса использовать консоль.
Поздравляю, мы развернули стенд который будем хакать, впереди у нас много нового, если эта статья наберёт просмотры и отклики, мы продолжим с вами работать с этими стендами до получения желаемого результата.
Подписывайтесь, пишите в комментариях что хотите продолжения и я напишу следующую статью. Всем успехов!