Metasploitable:这个道德黑客沙箱是如何工作的

2022 年 4 月 11 日 马特·米尔斯(Matt Mills) 如何 0

有许多道德黑客资源和工具可用于测试计算机安全性。 目标是能够检测漏洞,找到可能对设备构成危险的错误。 但它们也有助于学习,将自己置于攻击者的位置并进行实验。 这些选项之一是 Metasploitable . 它是一个虚拟机,我们可以使用它来执行各种测试,而不会影响我们设备的安全性。

Metasploitable:这个道德黑客沙箱是如何工作的

Metasploitable 的工作原理

它是一个 开源项目 专注于计算机安全。 它用于检测漏洞并获取有关如何解决可能出现的问题的信息。 它用于远程对设备执行漏洞利用,从而测试其安全性。

这个项目已经有好几年的历史了,随着时间的推移,它一直在改进和整合新功能。 这个预配置的虚拟机允许您调试和使用不同的工具,例如 Metasploit。 一共有三个版本:Metasploitable 1、2 和 3,这是最新版本,也是您最终可能会使用的版本。

最明智的选择是使用 元开发 3 ,这是最新的,并且会更好地工作。 在其中,您可以测试您的网络安全技能并检测漏洞。 在这种情况下,能否在系统上轻松构建镜像取决于 Vagrant 和 Packer。 以前的版本是虚拟机的快照。

On GitHub上 您可以看到 Metasploitable 3 检测到的所有漏洞。 例如,您可以找到开放的端口、不安全的密码或我们可以在网络上找到的最常见的应用程序。 所有这些都将为我们执行攻击和利用漏洞做好准备。

黑客书籍

使用步骤

为了使用 Metasploitable,您必须拥有一台与必要依赖项兼容的计算机,然后下载它。 它可能不适用于所有计算机,因此您应该知道 最低规格 是你需要开始使用它:

  • 支持虚拟化功能的处理器(VT-x 或 AMD-V)
  • 至少4.5 GB的RAM
  • 65 GB的可用硬盘空间

此外,诸如 包装机 , 流浪汉 or Vagrant 重新加载插件 需要安装在电脑上。 也是一个虚拟化系统,例如 VMWare 或 VirtualBox。 稍后,您可以下载已编译的 Metasploitable 版本或自己进行。

但是,它们并不是当今普通团队需要承担的问题的规范。 如果您的设备较旧或功能更有限,您必须至少考虑它的要求,以便正常运行并且不会遇到问题。

您可以根据以下内容找到 Metasploitable 3 的必要信息 Windows服务器 还有 Ubuntu 版本。 如您所见,它们不是这些操作系统的最新版本。 将来他们很可能会发布具有更新操作系统的新更新。

如果您要在其中安装 Metasploitable 3 Ubuntu,您必须在 Vagrant 中运行以下框:

Vagrant.configure("2") do |config|
config.vm.box = "rapid7/metasploitable3-ub1404"
config.vm.box_version = "0.1.12-weekly"
end

为什么道德黑客工具很重要

这里有 许多安全威胁 在网络上。 每当我们打开页面、登录服务或安装任何程序时,我们都可能成为恶意软件和各种攻击的受害者。 但在许多情况下,这是由于存在漏洞。 例如,可能导致网络犯罪分子进入服务器的故障、导致密码泄露或系统被利用的错误。

为了抵消这一切,必须有一个 不断审查 尽快发现错误并纠正错误。 这就是道德黑客工具发挥作用的地方,我们可以找到大量替代品。 其中之一是我们从 Metasploitable 3 中看到的。

但是,我们甚至可以安装一些操作系统,例如 Kali Linux,这是最受欢迎的之一。 这类 Linux发行版 有广泛的选项来运行工具来测试可能易受攻击的 Wi-Fi 网络、检测不安全的密码等。目的是进行各种测试,以查看存在哪些可能的漏洞并可能成为问题假设黑客设法利用该漏洞并控制该设备的计算机系统。

它们对于保护系统、服务器和业务网络以及大型组织非常有用。 在这种情况下,可能存在各种漏洞。 有必要研究计算机安全专家或黑客来进行 测试 检测这些错误并提供解决方案。 在那里,道德黑客工具再次出现在现场。

要正确使用 Metasploitable 等应用程序和工具,必须对计算机安全以及这些程序的工作原理有最低限度的了解。 通过这种方式,我们可以充分利用操作并检测漏洞或测试我们可用的不同功能。

黑客技术页面

关于 Metasploitable 的结论

我们可以说 Metasploitable 是其中之一 最完整的环境 我们可以找到进行这种道德黑客行为的方法。 然而,并非一切都是完美的。 我们可以看到的一个负面因素是它不经常接收更新。 事实上,最新版本已经有好几年了。 如果您可以提供对可能被利用的最新程序和漏洞的更新,这将非常重要。

同样,操作系统 也应该是最新的 . 尽管它们是功能性的,但如果能够使用更多当前版本来测试安全性并因此检测漏洞,那就太好了。 此外,由于它可以与 Vagrant 一起使用,因此应该可以包含不同的难度级别。 通过这种方式,我们可以创建具有不同特征的不同虚拟实例,具体取决于我们是想要更复杂的东西还是对更基本的东西感兴趣。

对许多用户来说可能很重要的另一点是 需要一定的知识 . 仅仅找到编译好的虚拟机,下载并挂载到 VirtualBox 或 VMWare 等平台上是不够的。 使用 Vagrant,如果你没有练习过这个工具,它会有点复杂,你需要花更多的时间。

但是,尽管我们已经看到了负面因素,这基本上是它有些过时以及使用它的困难,否则它是一个相当完整和有趣的工具。 我们可以在我们的系统上安装并执行各种测试的各种道德黑客工具中的另一种选择。 如果您正在寻找一些东西来检测漏洞并利用它们,那么这是一个很好的解决方案,您可以尝试。