在VmWare中建立渗透测试实验室

Question

我需要建立一个渗透测试实验室的网站应用程序使用VmWare工作站。我需要知道该怎么做，或者我该怎么做。此外，我还需要满足以下标准: 1.提出Peneteraion testing Lab的总体架构2.设置Penteraion testing Lab所需的软件类型3. Penteraion testing的不同组件详细说明4. Penteraion testing Lab的所有配置和步骤

Answer 1

我刚开始的时候做的是

• 设置渗透测试linux发行版(在您的例子中应该是kali)
• Windows Vista机器攻击
• 备份的vista机器(以防我破坏它)在VMWare中有一个函数可以执行

您可以设置不同类型的机器，因此，如果您想攻击web服务器而不是机器，您可以这样做。

这是一个宽泛的问题，所以我只能提供个人经验。

Answer 2

为了学习Web应用程序渗透测试，您可以使用易受攻击的虚拟机，可以在vulnhub website中找到

我强烈建议你查看上面提到的网站，在那里你可以下载易受攻击的vm和iso镜像，在那里你可以玩转。

Answer 3

让我们称它为Web application CTF。

在开始考虑应该在哪台服务器上运行CTF之前，您需要执行以下步骤：

选择你的CTF级别。请注意，最容易构建的CTF是最难的。

创建数据库-不要让CTF的级别影响你的数据库。

3.构建机器故事。这就是CTF级别和漏洞数据库的交汇点。

您确实可以采用一个普通且简单的漏洞，如XSS，使其完全难以发现，但也可以采用更高级的漏洞，如XXE，使其变得简单。所以机器故事是最重要的部分。在机器的故事部分，您还决定是否希望在机器上有兔子洞。

4.选择应用服务器

考虑到漏洞数据库，以及在哪台服务器上实现它们是最好的。

5.选择操作系统

在哪种操作系统上管理应用程序服务器和数据库最容易？

6.构建前端

你可以选择一个网站模板，也可以自己构建一个，这都无关紧要。

7.构建后端

在这一部分中，您需要注意用来构建它的工具。尽量不要使用最新的工具，因为它们更有可能是安全的，记住你希望你的机器是可被黑客攻击的。

8.实现漏洞

在你有了一个功能齐全的网站之后，现在是时候实现你数据库中的所有漏洞了。

9.创建一个写入

在任何情况下，拥有一个是很重要的，最好是有一个。

10.在你给别人帮助的同时，让他们解决你的

你的任务很简单。找出一些事情：

答:机器故事是按计划工作的吗？(这意味着他们不能跳过漏洞来解决机器)

他们在CTF中有bug吗？

请记住，如果有人找到了一种不同的方法来攻击你的CTF，这不是一个bug，而是一个功能。

希望这篇指南能帮到你，祝你好运。