Kali Linux 2022.1 是渗透测试的一站式商店
图片来源:Larich/Shutterstock

对于任何处理安全问题的人来说,渗透测试通常是一种必要的邪恶。有时,您无法知道系统中存在哪些漏洞,直到您故意尝试破坏它们。幸运的是,在渗透测试的帮助下,你实际上并没有破坏这些系统,你只是敲他们的门,看看它有多可能崩溃。

请参阅:密码泄露为什么流行文化 密码混合免费PDF(TechRepublic)


Offensive Security最近发布了2022年Kali Linux的第一个迭代。在这个新版本中,简称为2022.1,你会发现改进的可访问性功能,旧协议的SSH兼容性以及更多新的测试可供尝试。这就是为什么像Kali Linux这样的平台如此重要。使用渗透测试 Linux 发行版,您拥有在服务器、桌面和网络上运行几乎所有已知渗透测试所需的所有工具。

让我们深入研究一下 Kali Linux 2022.1,看看这个 Linux 发行版是否应该成为你的首选渗透测试工具。

Kali Linux 中有哪些新增功能?

与每个发行版一样,人们首先想知道的是什么是闪亮的和新的?Kali Linux 2022.1具有足够的新颖性,可以保持新鲜感和现代感。

首先,开发人员通过桌面,登录和GRUB显示的新壁纸添加了一些视觉刷新。桌面是Xfce(图A),开发人员在保持其清洁和最小化方面做得非常出色。

图 A

Kali Linux 2022.1 是渗透测试的一站式商店
Kali Linux桌面干净而简约。

我很高兴开发人员选择保持桌面清晰。通常,具有此类发行版的开发人员将所有内容都放在桌面上(例如Konky),以便为用户提供他们可能需要或可能不需要的所有信息。这很容易让人分心和混乱,以至于没有用处,尤其是在将发行版用作虚拟机时,桌面空间非常宝贵。

说到虚拟机...

我选择的安装路线是虚拟设备(可以从Kali Linux站点下载)。除非您需要在裸机上安装Kali Linux,否则我强烈建议您采用这种方式,因为它的安装和使用效率要高得多。无需在需要时启动 OS,而是可以启动 VM 并使其处于与上次使用时完全相同的状态。为了使虚拟路由更具吸引力,在VirtualBox上运行时,您可以开箱即用地调整VM窗口的大小(就像使用Ubuntu Desktop一样)。此外,默认情况下,共享剪贴板处于启用状态,因此在主机和来宾之间进行复制和粘贴(反之亦然)按预期方式工作。

关于走虚拟机路由,需要了解的一件事是默认凭据是 kali/kali。您应确保通过以下方式添加新用户:

sudo adduser USERNAME

其中用户名是新用户名。之后,请确保使用以下命令将新用户添加到 sudo:

sudo usermod -aG sudo USERNAME

其中用户名是新用户名。

说到终端...

我真正欣赏开发人员所做的一件事是调整终端窗口,使其自动完成命令。这可以通过发行版非常方便,该发行版可以让您在终端窗口中比其他桌面上看到更多。例如,我开始键入 sudo,终端自动完成我输入的最后一个 sudo 命令(图 B)。

图 B

Kali Linux 2022.1 是渗透测试的一站式商店
Kali Linux 终端自动完成可以节省大量时间。

固态混合(SSH)向后兼容性

SSH的开发人员一直在发展软件,协议和加密算法。发现加密算法包含漏洞的情况并不少见。发生这种情况时,SSH 开发人员可能会禁用它(以保护用户)。鉴于Kali Linux的性质,能够继续测试这些漏洞非常重要,因此开发人员已经使SSH客户端可以配置为更广泛的兼容性(因此它可以与尽可能多的SSH服务器进行通信)。

在广泛兼容模式下使用 SSH 时,将启用旧密钥交换算法(如 (diffie-hellman-*-sha1) 和密码(如 CBC)。为了启用宽兼容模式,您必须转到桌面菜单|设置|卡利调整。在 Kali 调整工具(图 C)中,选择"强化"。

图 C

Kali Linux 2022.1 是渗透测试的一站式商店
Kali Tweaks 工具允许您配置强化、安装工具子集、配置 shell 和修改 VM 设置。

在出现的窗口(图 D)中,使用光标键选择 SSH。点击空格键进行选择,向下按 Tab 键以应用,然后按键盘上的 Enter 键。

图 D

Kali Linux 2022.1 是渗透测试的一站式商店
在 Kali Linux 上为 SSH 启用宽兼容模式。

用于更多测试的新工具

Kali Linux 2022.1 增加了六个新工具,以进一步扩展您的测试工作。这些工具是:

  • dnsx - 运行多个 DNS 查询。

  • email2phonenumber -OSINT工具,允许用户通过电子邮件找到电话号码(注意:我还没有在Kali Linux上找到这个工具,尽管它说它可以用命令sudo apt安装email2phonenumber安装,但我没有发现这样的成功)。

  • naabu — 快速端口扫描器。

  • 细胞核 — 基于模板的靶向扫描。

  • PoshC2 — 一个代理感知的 C2 框架,使用开发后和横向移动。

  • proxify — 用于 HTTP/HTTPS 流量捕获、操作和重放的代理工具。

除了新工具,你会发现Kali Linux包含了渗透测试需求的所有常见嫌疑人。结合新工具,视觉刷新和广泛的兼容模式,Kali Linux 2022.1可能是该操作系统的最佳版本。下载虚拟设备或 ISO 以安装在裸机上,并了解此最新版本是否将成为您首选的渗透测试平台。

在 YouTube  订阅 TechRepublic 的《如何让技术发挥作用》,获取 Jack Wallen 为商业专业人士提供的所有最新技术建议。