E01: JDK安装与配置
核心作用:
JDK(Java Development Kit)是Java开发环境的核心组件,在网络安全中常用于运行/开发Java漏洞利用工具(如反序列化漏洞检测工具)。
安装步骤:
- Windows系统:
-
运行安装程序,默认路径为
C:\Program Files\Java\jdk-版本号。 -
配置环境变量:
-
添加
JAVA_HOME:值为JDK安装路径(如C:\Program Files\Java\jdk-21)。 -
添加
%JAVA_HOME%\bin到系统Path变量。 -
验证安装:
cmd
java -version
javac -version - Linux系统:
- 使用APT安装OpenJDK:
bash
sudo apt update
sudo apt install openjdk-17-jdk - 配置环境变量(若需多版本切换):
bash
sudo update-alternatives --config java E02: Docker与Docker-Compose部署
Docker核心价值:
快速创建隔离的容器化环境,用于漏洞复现、靶场搭建、工具链部署,避免污染宿主机环境。
安装与配置:
- Docker安装:
- Linux(Ubuntu):
bash
sudo apt install docker.io
sudo systemctl enable --now docker
sudo usermod -aG docker $USER # 当前用户加入docker组 -
Windows:
-
下载 Docker Desktop,安装后启用WSL2支持。
- Docker-Compose安装:
- Linux:
bash
sudo curl -L "https://github.com/docker/compose/releases/download/v2.20.0/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
sudo chmod +x /usr/local/bin/docker-compose - Windows:Docker Desktop已内置Compose。
实战示例(部署漏洞靶场):
bash
# 拉取DVWA镜像
docker pull vulnerables/web-dvwa
# 启动容器并映射端口
docker run -d -p 8080:80 vulnerables/web-dvwa
# 使用docker-compose管理多服务
vim docker-compose.yml
yaml
version: '3'
services:
dvwa:
image: vulnerables/web-dvwa
ports:
- "8080:80"
metasploit:
image: metasploitframework/metasploit-framework
volumes:
- ~/.msf4:/home/msf/.msf4 E03: WAMP环境搭建
WAMP作用:
本地模拟Web服务器环境,用于调试PHP应用、复现Web漏洞(如文件包含、SQL注入)。
部署流程(Windows):
- 安装Apache:
-
下载 Apache Lounge 的Windows二进制包。
-
解压至
C:\Apache24,修改conf/httpd.conf:Listen 80
ServerName localhost:80
-
启动服务:
cmd
httpd.exe -k start - 安装MySQL:
-
下载 MySQL Community Server,运行安装程序。
-
配置root密码,并启动MySQL服务。
- 安装PHP:
-
下载 PHP Windows版,解压至
C:\php。 -
在
httpd.conf中添加PHP支持:LoadModule php_module "C:/php/php8apache2_4.dll"
AddHandler application/x-httpd-php .php
PHPIniDir "C:/php"
- 测试环境:
-
在
htdocs目录创建info.php,内容为<?php phpinfo(); ?>。 -
访问
http://localhost/info.php验证PHP是否生效。
E04: Windows环境下部署MSF工具
Metasploit Framework(MSF):
渗透测试核心框架,支持漏洞利用、Payload生成、后渗透操作。
安装与配置(Windows):
- 一键安装(推荐):
- 下载 Metasploit Pro 或使用Kali-WSL。
- 手动安装:
-
安装Ruby环境:下载 RubyInstaller。
-
安装依赖库:
cmd
gem install bundler
gem install rails - 克隆MSF仓库:
cmd
git clone https://github.com/rapid7/metasploit-framework
cd metasploit-framework
bundle install 基础使用:
- 启动MSF Console:
cmd
ruby msfconsole - 搜索漏洞模块:
msf
search eternalblue - 配置并执行攻击:
msf
use exploit/windows/smb/ms17_010_eternalblue
set RHOSTS 192.168.1.100
exploit 优化配置:
-
配置数据库支持(PostgreSQL):加速模块加载与结果存储。
-
集成Nmap:在MSF中直接调用扫描结果。
学习与实战建议
-
环境隔离:优先使用Docker或虚拟机部署工具,避免影响主机环境。
-
版本兼容性:注意工具版本(如PHP 5.x与7.x的语法差异)。
-
扩展阅读:
-
Docker官方文档:https://docs.docker.com/
-
Metasploit Unleashed:https://www.offsec.com/metasploit-unleashed/
此部分内容为网络安全工程师的底层技能基础,熟练掌握后可为漏洞复现、工具开发、攻防演练提供稳定支持。