Kali Linux如何帮助测试网络安全

看不見的法師

发布时间：2025-07-21 12:24:16

475人浏览过

来源于php中文网

原创

要深入了解网络、网站、系统或应用程序的安全性，学习kali linux是必不可少的。

渗透测试（也称为“pentesting”）是一种有效发现网络及其连接系统漏洞的方法。渗透测试有时也被称为道德黑客入侵，这有助于解释其精确含义——使用与恶意黑客类似的工具，尝试找出可能允许黑客访问你网络的任何问题和漏洞。

对于希望确保网络尽可能安全的企业来说，渗透测试是必不可少的。关键问题在于如何开始。当前有许多渗透测试工具可用，其中许多是开源和免费的。事实上，你可以在任何选择的操作系统上安装这些工具。

然而，得益于Kali Linux，现在有了更好的方法。

如果你对Kali Linux不熟悉，它是一个专门用于渗透测试的Linux发行版，包含了许多用于此目的的工具。你很难找到一个预装了如此多渗透测试工具的操作系统。

尽管这些工具中的一些确实有相当陡峭的学习曲线，但好消息是，感谢Kali Linux，你不必担心它们的正确安装和配置。这些工具已经预装并准备就绪。

Kali Linux中的渗透测试工具既有图形用户界面（GUI）工具，也有命令行界面（CLI）工具，其中一些CLI工具实际上比GUI更简单。情况并不总是如此，但如果你曾经使用过命令行，你就会知道它通常比GUI更高效。

学习曲线问题暂且不论，Kali Linux无疑是市场上最好的渗透测试平台。如果你想了解你的网络、网站、系统或应用程序的安全性如何，你会想要了解Kali Linux。

如何获取Kali Linux，首先我想提到的是如何获取和安装Kali Linux。由于这是一个Linux发行版，你总是可以下载一个ISO安装镜像，并将其安装在任何可用的系统上。Kali Linux是一个相当轻量级的发行版，因此即使在较老的硬件上安装也应该可以。

另一种方法（也是我倾向于首选的方法）是下载一个虚拟机，并在VMware、VirtualBox、Hyper-V或QEMU上使用它。只要确保下载与你的虚拟机平台相匹配的虚拟机。

我更喜欢虚拟机方法的原因是，我可以从任何支持虚拟机的操作系统运行它，并且可以随意启动、暂停和停止Kali Linux。

要在VirtualBox上运行Kali Linux虚拟机，请执行以下步骤：

确保下载VirtualBox虚拟机镜像。从命令行或图形文件管理器中提取.7z文件。打开VirtualBox。单击“添加”。导航到新创建的kali-linux-XXX-virtualbox-amd64文件夹（其中XXX是发布编号），双击以.vbox结尾的文件。导入VM后，单击“完成”。在启动VM之前，从左面板中选择它，然后单击“设置”。我们要确保Kali Linux附加到你的局域网，因此单击“网络”，然后从“连接到”下拉列表（图1）中选择“桥接适配器”。

Kali Linux如何帮助测试网络安全 图1:将网络从默认的NAT更改为桥接

一旦你完成了这一步，关闭“设置”，然后启动虚拟机。当你最终看到Kali Linux登录界面时，使用凭据kali/kali登录。

自由画布

百度文库和百度网盘联合开发的AI创作工具类智能体

下载

你的第一个渗透测试体验在本文中，我们将从一些简单的事情开始。Kali Linux中包含的众多工具之一称为wpscan，它可以扫描WordPress部署中的问题。

你可以在“Web应用程序分析”菜单中找到wpscan，它被标记为wpscan。当你点击该条目时，将打开一个终端窗口，准备好运行你的第一个扫描（图2）。

Kali Linux如何帮助测试网络安全 图2:Kali Linux终端窗口

你不必通过桌面菜单。相反，你可以简单地点击顶栏中的终端图标，就会打开Kali Linux终端窗口。由于Linux安装应用程序的方式，你可以从任何终端和任何目录运行wpscan命令。

假设你当前正在测试一个WordPress部署，它还未投入生产。我们将使用IP地址192.168.1.229进行测试。这个测试的命令是：

wpscan --url=http://192.168.1.229

输出会快速滚动，在末尾，你会看到消息“未给定WPScan API Token，因此未输出漏洞数据”。在下面你会看到一个链接，你可以点击并注册获取API Token。

将你的token复制后，可以像这样将其添加到命令中：

wpscan --api-token TOKEN --url=http://192.168.1.229

如果你想要保存扫描输出到一个文件，可以这样做：

wpscan --api-token TOKEN --url=http://192.168.1.229 > FILENAME

其中TOKEN是你的API token，FILENAME是你希望输出保存到的文件的名称。

当扫描完成后，你可以使用以下命令之一查看文件内容：

cat FILENAME
less FILENAME

我更喜欢使用less，因为它允许我上下滚动更容易地读取文件。

这就是如何开始用Kali Linux运行你的第一个渗透测试。我们会在未来的文章中重新讨论这个主题，并且介绍更具挑战性的测试。

sudoers 配置语法错误导致所有用户 sudo 失效的 recovery 单用户模式

Linux 网卡流量突然不对称（收发包差距巨大）排查思路

/ proc/sys/vm/dirty_ratio 和 dirty_background_ratio 写脏页过多的调优经验

Linux 进程僵尸进程（zombie）大量产生怎么找到元凶父进程

swap 使用率持续偏高但 free -h available 很多的 overcommit 场景

相关专题

Sass和less的区别

Sass和less的区别有语法差异、变量和混合器的定义方式、导入方式、运算符的支持、扩展性等。本专题为大家提供Sass和less相关的文章、下载、课程内容，供大家免费下载体验。

201

2023.10.12

登录token无效

登录token无效解决方法：1、检查token的有效期限，如果token已经过期，需要重新获取一个新的token；2、检查token的签名，如果签名不正确，需要重新获取一个新的token；3、检查密钥的正确性，如果密钥不正确，需要重新获取一个新的token；4、使用HTTPS协议传输token，建议使用HTTPS协议进行传输；5、使用双因素认证，双因素认证可以提高账户的安全性。

6105

2023.09.14

登录token无效怎么办

登录token无效的解决办法有检查Token是否过期、检查Token是否正确、检查Token是否被篡改、检查Token是否与用户匹配、清除缓存或Cookie、检查网络连接和服务器状态、重新登录或请求新的Token、联系技术支持或开发人员等。本专题为大家提供token相关的文章、下载、课程内容，供大家免费下载体验。

811

2023.09.14

token怎么获取

获取token值的方法：1、小程序调用“wx.login()”获取临时登录凭证code，并回传到开发者服务器；2、开发者服务器以code换取，用户唯一标识openid和会话密钥“session_key”。想了解更详细的内容，可以阅读本专题下面的文章。

1064

2023.12.21

token什么意思

token是一种用于表示用户权限、记录交易信息、支付虚拟货币的数字货币。可以用来在特定的网络上进行交易，用来购买或出售特定的虚拟货币，也可以用来支付特定的服务费用。想了解更多token什么意思的相关内容可以访问本专题下面的文章。

1276

2024.03.01

Java 网络安全

本专题聚焦 Java 在网络安全与加密通信中的应用，系统讲解常见加密算法（MD5、SHA、AES、RSA）、数字签名、HTTPS证书配置、令牌认证（JWT、OAuth2）及常见安全漏洞防护（XSS、SQL注入、CSRF）。通过实战项目（如安全登录系统、加密文件传输工具），帮助学习者掌握 Java 安全开发与加密技术的实战能力。

718

2025.10.13