Web applications 在VmWare中构建渗透测试实验室

我需要使用VmWare Workstation为WEB应用程序构建一个渗透测试实验室。我需要知道该怎么做，或者我该怎么做。此外，我还需要执行以下标准： 1.提出了渗透测试实验室的总体架构 2.建立Penterion测试实验室所需的软件类型 3.详细介绍了Penterion测试的不同组成部分

---

4.建立Penterion测试实验室的所有配置和步骤建立渗透实验室有很多方法。 我刚开始时做的是

• 设置渗透测试linux发行版（在您的情况下，它应该是kali）
• 要攻击的Windows Vista计算机
• vista机器的备份（以防我弄坏它） VMWare中有一个功能可以做到这一点

您可以设置不同类型的机器，因此如果您想攻击web服务器而不是机器，您可以这样做。机器的所有配置您都可以自己玩

---

这是一个广泛的问题，因此我只能提供个人经验

用于学习Web应用程序渗透测试，您可以使用易受攻击的vm，可以在

---

我强烈建议您访问上述网站，在那里您可以下载易受攻击的vm和iso映像，在那里您可以玩游戏。如果您计划建立完整的渗透测试实验室，覆盖易受攻击的应用程序和系统，请执行此操作。

我们称之为Web应用程序CTF

在开始考虑在哪台服务器上运行CTF之前，需要执行以下步骤：

1。选择您的CTF级别。 请注意，最容易构建的CTF是硬CTF

2。创建漏洞数据库-不要让CTF级别影响数据库

3。构建机器故事。这是您的CTF级别和 漏洞数据库是相互满足的

您确实可以利用XSS等普通且容易的漏洞，使其完全难以发现，但也可以利用XXE等更高级的漏洞，使其变得简单。因此，机器故事是最重要的部分。 在机器的故事部分，您还可以决定是否要在机器中设置兔子洞

4。选择应用程序服务器

考虑漏洞数据库以及在哪台服务器上最好实施这些漏洞

5。选择操作系统

在哪个操作系统上最容易管理应用程序服务器和数据库

6。构建前端

你可以选择一个网站模板，也可以自己创建一个，这并不重要

7。构建后端

在本部分中，您需要注意用于构建它的工具。 尽量不要使用最新的更安全的工具，记住你希望你的机器可以被黑客攻击

8。实施漏洞

在您拥有完整功能的网站之后，现在是实施数据库中所有漏洞的时候了

9。撰写一篇评论

无论如何，最好有一个

10。请他人解决您的CTF问题，同时向他们提供帮助

你在这里的任务很简单。了解情况：

机器故事是否作为一个计划工作？（这意味着他们不能跳过漏洞来解决机器问题）

他们在CTF中有任何错误吗

请记住，如果有人找到一种不同的方法来攻击你的CTF，那它不是一个bug，而是一个特性

希望本指南能对您有所帮助，祝您好运。

尝试一个linux发行版，其中包含大量预安装的pentest工具。