工具环境与系统部署

E01: JDK安装与配置

核心作用

JDK(Java Development Kit)是Java开发环境的核心组件,在网络安全中常用于运行/开发Java漏洞利用工具(如反序列化漏洞检测工具)。

安装步骤

  1. Windows系统
  • 下载JDK安装包(Oracle官网OpenJDK)。

  • 运行安装程序,默认路径为 C:\Program Files\Java\jdk-版本号

  • 配置环境变量:

  • 添加 JAVA_HOME:值为JDK安装路径(如 C:\Program Files\Java\jdk-21)。

  • 添加 %JAVA_HOME%\bin 到系统 Path 变量。

  • 验证安装:

cmd 复制代码
java -version 

javac -version 
  1. Linux系统
  • 使用APT安装OpenJDK:
bash 复制代码
sudo apt update 

sudo apt install openjdk-17-jdk 
  • 配置环境变量(若需多版本切换):
bash 复制代码
sudo update-alternatives --config java 

E02: Docker与Docker-Compose部署

Docker核心价值

快速创建隔离的容器化环境,用于漏洞复现、靶场搭建、工具链部署,避免污染宿主机环境。

安装与配置

  1. Docker安装
  • Linux(Ubuntu)
bash 复制代码
sudo apt install docker.io 

sudo systemctl enable --now docker 

sudo usermod -aG docker $USER # 当前用户加入docker组 
  1. Docker-Compose安装
  • Linux
bash 复制代码
sudo curl -L "https://github.com/docker/compose/releases/download/v2.20.0/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose 

sudo chmod +x /usr/local/bin/docker-compose 
  • Windows:Docker Desktop已内置Compose。

实战示例(部署漏洞靶场):

bash 复制代码
# 拉取DVWA镜像 

docker pull vulnerables/web-dvwa 

# 启动容器并映射端口 

docker run -d -p 8080:80 vulnerables/web-dvwa 

# 使用docker-compose管理多服务 

vim docker-compose.yml 
yaml 复制代码
version: '3' 

services: 

dvwa: 

image: vulnerables/web-dvwa 

ports: 

- "8080:80" 

metasploit: 

image: metasploitframework/metasploit-framework 

volumes: 

- ~/.msf4:/home/msf/.msf4 

E03: WAMP环境搭建

WAMP作用

本地模拟Web服务器环境,用于调试PHP应用、复现Web漏洞(如文件包含、SQL注入)。

部署流程(Windows)

  1. 安装Apache
  • 下载 Apache Lounge 的Windows二进制包。

  • 解压至 C:\Apache24,修改 conf/httpd.conf

    Listen 80

    ServerName localhost:80

  • 启动服务:

cmd 复制代码
httpd.exe -k start 
  1. 安装MySQL
  1. 安装PHP
  • 下载 PHP Windows版,解压至 C:\php

  • httpd.conf 中添加PHP支持:

    LoadModule php_module "C:/php/php8apache2_4.dll"

    AddHandler application/x-httpd-php .php

    PHPIniDir "C:/php"

  1. 测试环境
  • htdocs 目录创建 info.php,内容为 <?php phpinfo(); ?>

  • 访问 http://localhost/info.php 验证PHP是否生效。


E04: Windows环境下部署MSF工具

Metasploit Framework(MSF)

渗透测试核心框架,支持漏洞利用、Payload生成、后渗透操作。

安装与配置(Windows)

  1. 一键安装(推荐)
  1. 手动安装
cmd 复制代码
gem install bundler 

gem install rails 
  • 克隆MSF仓库:
cmd 复制代码
git clone https://github.com/rapid7/metasploit-framework 

cd metasploit-framework 

bundle install 

基础使用

  1. 启动MSF Console:
cmd 复制代码
ruby msfconsole 
  1. 搜索漏洞模块:
msf 复制代码
search eternalblue 
  1. 配置并执行攻击:
msf 复制代码
use exploit/windows/smb/ms17_010_eternalblue 

set RHOSTS 192.168.1.100 

exploit 

优化配置

  • 配置数据库支持(PostgreSQL):加速模块加载与结果存储。

  • 集成Nmap:在MSF中直接调用扫描结果。


学习与实战建议

  1. 环境隔离:优先使用Docker或虚拟机部署工具,避免影响主机环境。

  2. 版本兼容性:注意工具版本(如PHP 5.x与7.x的语法差异)。

  3. 扩展阅读

此部分内容为网络安全工程师的底层技能基础,熟练掌握后可为漏洞复现、工具开发、攻防演练提供稳定支持。

相关推荐
薄荷椰果抹茶1 小时前
【网络安全基础】第一章---引言
安全·网络安全
00后程序员张4 小时前
免Mac上架实战:全平台iOS App上架流程的工具协作经验
websocket·网络协议·tcp/ip·http·网络安全·https·udp
unable code9 小时前
攻防世界-Reverse-insanity
网络安全·ctf·reverse
亚里士多没有德7759 小时前
【CTF-Web环境搭建】kali
网络安全
安全系统学习16 小时前
网络安全之SQL RCE漏洞
安全·web安全·网络安全·渗透测试
2501_9159214319 小时前
iOS IPA 混淆实测分析:从逆向视角验证加固效果与防护流程
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_9159184119 小时前
打造可观测的 iOS CICD 流程:调试、追踪与质量保障全记录
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_915909061 天前
调试 WebView 旧资源缓存问题:一次从偶发到复现的实战经历
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_915921431 天前
请求未达服务端?iOS端HTTPS链路异常的多工具抓包排查记录
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_916007471 天前
iOS 接口频繁请求导致流量激增?抓包分析定位与修复全流程
websocket·网络协议·tcp/ip·http·网络安全·https·udp