1.8.1　安裝預(yù)定目標(biāo)

為了實(shí)踐利用的藝術(shù)，通常我們建議你利用已知的軟件漏洞。本節(jié)我們將安裝Windows平臺Metasploitable3，它是一個基于PHP框架的Web應(yīng)用。

Metasploitable3

Metasploitable3無疑是一個易受攻擊的虛擬機(jī)，其用于利用Metasploit對多個漏洞進(jìn)行測試。它具有BSD風(fēng)格的許可證。可以構(gòu)建兩個虛擬機(jī)用于練習(xí)，虛擬機(jī)下載地址為：https://github.com/rapid7/metasploitable3。你可以下載ZIP文件并將其解壓到你最喜歡的Windows位置（通常，我們將其解壓到D:\HackTools\文件夾中），或者你還可以使用bash命令行遠(yuǎn)程克隆代碼。然后，安裝所有相關(guān)的支持軟件，如Packer(https://www.packer.io/downloads.html)、Vagrant（https://www.vagrantup.com/downloads.html）、VirtualBox和Vagrant reload插件。以下命令可用于安裝所有相關(guān)的易受攻擊的服務(wù)和軟件。

·在Windows 10操作系統(tǒng)上，你可以運(yùn)行以下命令：

·在Linux和macOS操作系統(tǒng)上，你可以運(yùn)行以下命令：

VirtualBox文件下載完成后，你還必須在PowerShell中運(yùn)行vagrant up win2k8和vagrant up ub1404命令。如圖1-25所示，這就在VirtualBox中創(chuàng)建了一個新的虛擬機(jī)。

圖1-25　Metasploitable3虛擬機(jī)

Mutillidae

Mutillidae是一個開源的不安全Web應(yīng)用程序，專為滲透測試人員而設(shè)計(jì)，以實(shí)踐所有特定于Web應(yīng)用程序的漏洞利用測試。XAMMP是由Apache Friends開發(fā)的另一個免費(fèi)開源的跨平臺的Web服務(wù)器解決方案堆棧包。XAMPP可以從https://www.apachefriends.org/download.html下載。

現(xiàn)在將Mutillidae安裝到我們新安裝的Microsoft Windows 2008 R2服務(wù)器上以進(jìn)行托管。

1.一旦XAMMP下載完成，我們就按照向?qū)О惭b可執(zhí)行文件。安裝完成后，啟動XAMPP，你應(yīng)該可以看到如圖1-26所示的安裝界面。我們使用的版本是XAMPP5.6.36/PHP5.6.36.

2.Mutillidae可以從https://sourceforge.net/projects/mutillidae/files/latest/download下載。

3.解壓安裝包并復(fù)制文件夾到C:\yourxampplocation\htdocs\<mutillidae>。

圖1-26　XAMMP安裝界面

4.你必須確保XAMPP正在運(yùn)行Apache和MySQL/MariaDB，最后訪問mutillidae文件夾的.htacess文件，并確保127.0.0.1在允許的IP范圍內(nèi)。如圖1-27所示，我們可以通過http://localhost/mutillidae/訪問安裝好的Web應(yīng)用。

圖1-27　mutillidae網(wǎng)頁界面

萬一出現(xiàn)數(shù)據(jù)庫離線或其他類似的錯誤信息，你可能需要重新啟動Mutillidae或重新安裝數(shù)據(jù)庫。