¿Cómo puedo realizar pruebas de penetración en VirtualBox?

Navega tus respuestas
2

Quiero comenzar con las pruebas de penetración y he leído que es mejor realizar dichas pruebas utilizando una máquina virtual en lugar de su propia computadora. También quiero usar la función de red interna de VirtualBox para asegurarme de no estropear nada. ¿Cómo puedo crear una red para atacar y tener un atacante fuera de esta red, pero con todos ellos internos y sin acceso a Internet? ¿Es esto lo que debería estar haciendo?

    
pregunta James Tan 05.04.2016 - 09:08
fuente

3 respuestas

2

En la configuración de la máquina virtual, configure cada una de las NIC en Red interna. Esto permitirá que las máquinas virtuales se comuniquen entre sí, pero no con el mundo exterior.

Para empezar, compre una .ova de Kali y otra de Metasploitable. Si tiene acceso a un disco de Windows Vista o anterior (especialmente si no se envía con ningún paquete de servicio), instale uno de esos también.

Esto te permitirá lanzar ataques y escaneos desde Kali sin golpear accidentalmente tu red real. Además, metasploitable está diseñado para tener vulnerabilidades, por lo que no estás golpeando una pared de ladrillos proverbial antes de saber cómo usar el martillo.

En particular, en Kali, mire nmap (especialmente con la opción --script) y metasploit.

Me di cuenta de que también estás preguntando por la penetración de la red. Considere la posibilidad de una complicación adicional para más adelante, ya que los cortafuegos son otro obstáculo por completo y, excepto en los casos en que ha habilitado el reenvío de puertos, confía en que los objetivos se alcancen (o que los alcancen después de algún compromiso que hayan logrado). ; aún así, no es lo mismo que escanear puertos a menos que ya sepa qué puertos a propósito hace vulnerables o busca vulnerabilidades en el enrutador.)

    
respondido por el Tim G 05.04.2016 - 09:37
fuente
1

Estás haciendo muchas preguntas.

Para configurar una red en VirtualBox, solo vaya a las preferencias > redes, y crea una red solo de host.

Pero entonces que? ¿cuál es tu plan? Necesitas algo para atacar. Necesitas averiguar en qué quieres enfocarte.

¿Aplicaciones web? Instale algún servidor web y descargue DVWA, WebGoat o cualquier otra aplicación web vulnerable que la gente use hoy en día.

¿Sistemas operativos? Instale alguna máquina virtual vulnerable como Metasploitable.

Realmente no necesita crear la red VBox porque va a atacar un solo sistema al principio. Cuando sea más competente, puede comenzar a instalar sistemas "reales", conectándolos y encontrando vulnerabilidades.

    
respondido por el yzT 05.04.2016 - 09:19
fuente
1

Compartiré mi manera de hacer pruebas de penetración con máquinas virtuales.

  1. Uso VirtualBox, normalmente comienzo con dos máquinas, el atacante y la víctima.
  2. La víctima es mi sistema objetivo, podría ser solo el sistema operativo o una configuración o software específico. Algunas personas ya sugieren algunas imágenes flexibles o de otro tipo preparadas para ser comprometidas.
  3. El atacante es una versión reciente de Kali u otro entorno con las herramientas para el trabajo.
  4. La configuración de VirtualBox me permite interactuar directamente con esas dos máquinas virtuales.
respondido por el Hugo Glez 09.08.2018 - 17:18
fuente

Lea otras preguntas en las etiquetas

Prevención de ataques de keylogging acústico dirigido MITM mis propias conexiones SSL con, por ejemplo, Wirehark - sin proxy