利用Python进行web渗透测试(三):测试环境搭建



本篇将会涉及:

  • 安装虚拟机软件和实验用的虚拟机WAPP
  • 一个脆弱的web应用:scruffy bank
  • 一些关于渗透测试的警告

一、安装虚拟机软件——Virtualbox

在Windows平台下,主流的虚拟机软件有两个Vmware以及Virtualbox。其中VMware为商业产品,Virtualbox为开源的免费产品,两个各有各自的特色,但是为了版权及其他原因,在此我们使用Virtualbox。
Virtualboox的官网为https://www.virtualbox.org/

image.png

我们点击“DownloadVirtualBox”,进行到下载页面:

选择“Windows hosts”,将安装文件下载下来并安装好。

run_vb.gif

二、下载并运行虚拟机

我们使用的虚拟机来自于packet的WAPP,总大小有6G多,压缩后2.3G。

解压之后,如图所示:

我们使用Virtualbox打开Packt.vbox:

然后运行它:

可以发现,其实质是一个类ubuntu的操作系统。
桌面上有一个文件夹、一个Atom编辑器、一个LX终端和一个火狐浏览器

三、ScruffyBank

这个虚拟机中内置了一个Web服务,其上运行着一个包含各种漏洞的脆弱的Web应用:scruffybank。
我们在虚拟机中使用火狐浏览器,打开网址www.scruffybank.com

其模拟的是一个银行网站,而这也是我们接下来渗透测试的主要战场。

 

四、最后的提醒

  • 我们接下来进行的操作和测试,通常都不允许在未经所属公司允许的情况下进行。
  • 在我国(其他很多国家亦是),这种未经许可的渗透测试是违法的!(不管你是白帽子还是什么帽子,详见“世纪佳缘”事件)
  • 如果想要练习学到的东西,一定要使用测试环境来进行,切勿未经许可进行非法的渗透测试!
  • 如果得到许可进行渗透测试工作,一定要得到书面的许可!(保留证据就是保护自己)
  1. sylar说道:

    请问你看的视频教程是什么呢?

    1. zmister说道:

      学习了很多国内国外的视频和书籍

  2. 瓦房店说道:

    压缩包中的vdi文件有问题,无法解压出来

    1. zmister说道:

      删了吧,有空修改一下再分享出来

      1. 瓦房店说道:

        那请问下你是在哪下载的这个虚拟机

发表评论

电子邮件地址不会被公开。