Come posso condurre test di penetrazione su VirtualBox

Naviga le tue risposte
2

Voglio iniziare con i test di penetrazione e ho letto che è meglio condurre tali test usando una macchina virtuale piuttosto che il proprio computer. Voglio anche usare la funzione di rete interna di VirtualBox per assicurarmi di non rovinare nulla. Come posso creare una rete per attaccare e avere un attaccante al di fuori di questa rete, ma con tutti loro interni e senza accesso a Internet? E 'questo anche quello che dovrei fare?

    
posta James Tan 05.04.2016 - 09:08
fonte

3 risposte

2

Nelle impostazioni della VM, impostare ciascuna NIC sulla rete interna. Ciò consentirà alle VM di comunicare tra loro ma non all'esterno.

Per iniziare, ottieni un premade .ova di Kali e un altro di Metasploitable. Se hai accesso a un disco di Windows Vista o precedente (soprattutto se non viene fornito con alcun service pack!), Installa anche uno di questi.

Questo ti permetterà di lanciare attacchi e scansioni da Kali senza colpire accidentalmente la tua rete reale. Inoltre, metasploitable è progettato per avere vulnerabilità, quindi non stai colpendo un proverbiale muro di mattoni prima di sapere come usare il martello.

In particolare, in Kali, guarda nmap (specialmente con l'opzione --script) e metasploit.

Ho notato che stai chiedendo anche la penetrazione della rete. Considera che un'ulteriore complicazione per dopo, dato che i firewall sono un altro ostacolo del tutto, e tranne dove hai abilitato il port forwarding, ti stai affidando agli obiettivi per raggiungere (o farli raggiungere dopo un compromesso che hanno preso su di loro ; ancora, non è lo stesso di port scans a meno che tu non sappia già quali porte ti rendi volutamente vulnerabile, o cerchi vulnerabilità nel router.)

    
risposta data 05.04.2016 - 09:37
fonte
1

Stai facendo molte domande.

Per configurare una rete in VirtualBox, vai alle preferenze > reti e creare una rete solo host.

Ma allora cosa? qual è il tuo piano? hai bisogno di qualcosa da attaccare. Devi capire su cosa vuoi concentrarti.

Applicazioni Web? Installa alcuni server web e scarica DVWA, WebGoat o qualsiasi altra applicazione Web vulnerabile sono le persone che utilizzano al giorno d'oggi.

Sistemi operativi? Installa alcune macchine virtuali vulnerabili come Metasploitable.

Non hai davvero bisogno di creare la rete VBox perché stai per attaccare un singolo sistema all'inizio. Quando sei più esperto, puoi iniziare ad installare sistemi "reali", collegandoli e individuando le vulnerabilità.

    
risposta data 05.04.2016 - 09:19
fonte
1

Condividerò il mio modo di eseguire test di penetrazione con VM.

  1. Uso VirtualBox, tipicamente comincio con due macchine, l'autore dell'attacco e la vittima.
  2. La vittima è il mio sistema di destinazione, potrebbe essere solo il sistema operativo, o una configurazione specifica o un software. Alcune persone suggeriscono già alcune immagini in formato matasplotable o altre immagini preparate per essere compromesse.
  3. L'autore dell'attacco è una versione recente di Kali o altro ambiente con gli strumenti per il lavoro.
  4. La configurazione di VirtualBox mi consente di interagire direttamente con queste due VM.
risposta data 09.08.2018 - 17:18
fonte

Leggi altre domande sui tag

Prevenzione degli attacchi acustici mirati al keylogging Perché gli ALG limitano il traffico su una determinata porta TCP in base al protocollo?