工具环境与系统部署

E01: JDK安装与配置

核心作用

JDK(Java Development Kit)是Java开发环境的核心组件,在网络安全中常用于运行/开发Java漏洞利用工具(如反序列化漏洞检测工具)。

安装步骤

  1. Windows系统
  • 下载JDK安装包(Oracle官网OpenJDK)。

  • 运行安装程序,默认路径为 C:\Program Files\Java\jdk-版本号

  • 配置环境变量:

  • 添加 JAVA_HOME:值为JDK安装路径(如 C:\Program Files\Java\jdk-21)。

  • 添加 %JAVA_HOME%\bin 到系统 Path 变量。

  • 验证安装:

cmd 复制代码
java -version 

javac -version 
  1. Linux系统
  • 使用APT安装OpenJDK:
bash 复制代码
sudo apt update 

sudo apt install openjdk-17-jdk 
  • 配置环境变量(若需多版本切换):
bash 复制代码
sudo update-alternatives --config java 

E02: Docker与Docker-Compose部署

Docker核心价值

快速创建隔离的容器化环境,用于漏洞复现、靶场搭建、工具链部署,避免污染宿主机环境。

安装与配置

  1. Docker安装
  • Linux(Ubuntu)
bash 复制代码
sudo apt install docker.io 

sudo systemctl enable --now docker 

sudo usermod -aG docker $USER # 当前用户加入docker组 
  1. Docker-Compose安装
  • Linux
bash 复制代码
sudo curl -L "https://github.com/docker/compose/releases/download/v2.20.0/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose 

sudo chmod +x /usr/local/bin/docker-compose 
  • Windows:Docker Desktop已内置Compose。

实战示例(部署漏洞靶场):

bash 复制代码
# 拉取DVWA镜像 

docker pull vulnerables/web-dvwa 

# 启动容器并映射端口 

docker run -d -p 8080:80 vulnerables/web-dvwa 

# 使用docker-compose管理多服务 

vim docker-compose.yml 
yaml 复制代码
version: '3' 

services: 

dvwa: 

image: vulnerables/web-dvwa 

ports: 

- "8080:80" 

metasploit: 

image: metasploitframework/metasploit-framework 

volumes: 

- ~/.msf4:/home/msf/.msf4 

E03: WAMP环境搭建

WAMP作用

本地模拟Web服务器环境,用于调试PHP应用、复现Web漏洞(如文件包含、SQL注入)。

部署流程(Windows)

  1. 安装Apache
  • 下载 Apache Lounge 的Windows二进制包。

  • 解压至 C:\Apache24,修改 conf/httpd.conf

    Listen 80

    ServerName localhost:80

  • 启动服务:

cmd 复制代码
httpd.exe -k start 
  1. 安装MySQL
  1. 安装PHP
  • 下载 PHP Windows版,解压至 C:\php

  • httpd.conf 中添加PHP支持:

    LoadModule php_module "C:/php/php8apache2_4.dll"

    AddHandler application/x-httpd-php .php

    PHPIniDir "C:/php"

  1. 测试环境
  • htdocs 目录创建 info.php,内容为 <?php phpinfo(); ?>

  • 访问 http://localhost/info.php 验证PHP是否生效。


E04: Windows环境下部署MSF工具

Metasploit Framework(MSF)

渗透测试核心框架,支持漏洞利用、Payload生成、后渗透操作。

安装与配置(Windows)

  1. 一键安装(推荐)
  1. 手动安装
cmd 复制代码
gem install bundler 

gem install rails 
  • 克隆MSF仓库:
cmd 复制代码
git clone https://github.com/rapid7/metasploit-framework 

cd metasploit-framework 

bundle install 

基础使用

  1. 启动MSF Console:
cmd 复制代码
ruby msfconsole 
  1. 搜索漏洞模块:
msf 复制代码
search eternalblue 
  1. 配置并执行攻击:
msf 复制代码
use exploit/windows/smb/ms17_010_eternalblue 

set RHOSTS 192.168.1.100 

exploit 

优化配置

  • 配置数据库支持(PostgreSQL):加速模块加载与结果存储。

  • 集成Nmap:在MSF中直接调用扫描结果。


学习与实战建议

  1. 环境隔离:优先使用Docker或虚拟机部署工具,避免影响主机环境。

  2. 版本兼容性:注意工具版本(如PHP 5.x与7.x的语法差异)。

  3. 扩展阅读

此部分内容为网络安全工程师的底层技能基础,熟练掌握后可为漏洞复现、工具开发、攻防演练提供稳定支持。

相关推荐
lingggggaaaa3 分钟前
小迪安全v2023学习笔记(七十八讲)—— 数据库安全&Redis&CouchDB&H2database&未授权&CVE
redis·笔记·学习·算法·安全·网络安全·couchdb
塔子终结者6 小时前
网络安全A模块专项练习任务十解析
java·服务器·网络安全
2301_780789666 小时前
渗透测试与网络安全审计的关系
网络·数据库·安全·web安全·网络安全
王火火(DDoS CC防护)7 小时前
服务器IP暴露被攻击了怎么办?
服务器·网络安全·ddos攻击
2401_8653825011 小时前
各省市信息化项目管理办法中的网络安全等级保护如何规定的?
网络安全·信息化项目·项目审批
墨染 殇雪19 小时前
文件上传漏洞基础及挖掘流程
网络安全·漏洞分析·漏洞挖掘·安全机制
网络安全大学堂19 小时前
【网络安全入门基础教程】网络安全零基础学习方向及需要掌握的技能
网络·学习·安全·web安全·网络安全·黑客
君君思密达21 小时前
网络安全初级-渗透测试
安全·网络安全
网安INF1 天前
【论文阅读】-《Besting the Black-Box: Barrier Zones for Adversarial Example Defense》
人工智能·深度学习·网络安全·黑盒攻击
lingggggaaaa1 天前
小迪安全v2023学习笔记(七十七讲)—— 业务设计篇&隐私合规检测&重定向漏洞&资源拒绝服务
笔记·学习·安全·web安全·网络安全