工具环境与系统部署

E01: JDK安装与配置

核心作用：

JDK（Java Development Kit）是Java开发环境的核心组件，在网络安全中常用于运行/开发Java漏洞利用工具（如反序列化漏洞检测工具）。

安装步骤：

1. Windows系统：

• 下载JDK安装包（Oracle官网 或 OpenJDK）。

• 运行安装程序，默认路径为 C:\Program Files\Java\jdk-版本号。

• 配置环境变量：

• 添加 JAVA_HOME：值为JDK安装路径（如 C:\Program Files\Java\jdk-21）。

• 添加 %JAVA_HOME%\bin 到系统 Path 变量。

• 验证安装：

java -version javac -version 

2. Linux系统：

• 使用APT安装OpenJDK：

sudo apt update sudo apt install openjdk-17-jdk 

• 配置环境变量（若需多版本切换）：

sudo update-alternatives --config java 

E02: Docker与Docker-Compose部署

Docker核心价值：

快速创建隔离的容器化环境，用于漏洞复现、靶场搭建、工具链部署，避免污染宿主机环境。

安装与配置：

1. Docker安装：

• Linux（Ubuntu）：

sudo apt install docker.io sudo systemctl enable --now docker sudo usermod -aG docker $USER # 当前用户加入docker组 

• Windows：

• 下载 Docker Desktop，安装后启用WSL2支持。

2. Docker-Compose安装：

• Linux：

sudo curl -L "https://github.com/docker/compose/releases/download/v2.20.0/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose sudo chmod +x /usr/local/bin/docker-compose 

• Windows：Docker Desktop已内置Compose。

实战示例（部署漏洞靶场）：

# 拉取DVWA镜像 docker pull vulnerables/web-dvwa # 启动容器并映射端口 docker run -d -p 8080:80 vulnerables/web-dvwa # 使用docker-compose管理多服务 vim docker-compose.yml 

version: '3' services: dvwa: image: vulnerables/web-dvwa ports: - "8080:80" metasploit: image: metasploitframework/metasploit-framework volumes: - ~/.msf4:/home/msf/.msf4 

E03: WAMP环境搭建

WAMP作用：

本地模拟Web服务器环境，用于调试PHP应用、复现Web漏洞（如文件包含、SQL注入）。

部署流程（Windows）：

1. 安装Apache：

• 下载 Apache Lounge 的Windows二进制包。

• 解压至 C:\Apache24，修改 conf/httpd.conf：

Listen 80 ServerName localhost:80 

• 启动服务：

httpd.exe -k start 

2. 安装MySQL：

• 下载 MySQL Community Server，运行安装程序。

• 配置root密码，并启动MySQL服务。

3. 安装PHP：

• 下载 PHP Windows版，解压至 C:\php。

• 在 httpd.conf 中添加PHP支持：

LoadModule php_module "C:/php/php8apache2_4.dll" AddHandler application/x-httpd-php .php PHPIniDir "C:/php" 

4. 测试环境：

• 在 htdocs 目录创建 info.php，内容为 <?php phpinfo(); ?>。

• 访问 http://localhost/info.php 验证PHP是否生效。

E04: Windows环境下部署MSF工具

Metasploit Framework（MSF）：

渗透测试核心框架，支持漏洞利用、Payload生成、后渗透操作。

安装与配置（Windows）：

1. 一键安装（推荐）：

• 下载 Metasploit Pro 或使用Kali-WSL。

2. 手动安装：

• 安装Ruby环境：下载 RubyInstaller。

• 安装依赖库：

gem install bundler gem install rails 

• 克隆MSF仓库：

git clone https://github.com/rapid7/metasploit-framework cd metasploit-framework bundle install 

基础使用：

1. 启动MSF Console：

ruby msfconsole 

2. 搜索漏洞模块：

search eternalblue 

3. 配置并执行攻击：

use exploit/windows/smb/ms17_010_eternalblue set RHOSTS 192.168.1.100 exploit 

优化配置：

• 配置数据库支持（PostgreSQL）：加速模块加载与结果存储。

• 集成Nmap：在MSF中直接调用扫描结果。

学习与实战建议

1. 环境隔离：优先使用Docker或虚拟机部署工具，避免影响主机环境。

2. 版本兼容性：注意工具版本（如PHP 5.x与7.x的语法差异）。

3. 扩展阅读：

• Docker官方文档：https://docs.docker.com/

• Metasploit Unleashed：https://www.offsec.com/metasploit-unleashed/

此部分内容为网络安全工程师的底层技能基础，熟练掌握后可为漏洞复现、工具开发、攻防演练提供稳定支持。