Metasploit渗透测试(框架介绍靶机安装基本使用方法)

Posted 保持微笑-泽

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Metasploit渗透测试(框架介绍靶机安装基本使用方法)相关的知识,希望对你有一定的参考价值。

1.metasploit介绍

Metasploit framework,简称msf。

Metasploit是一个渗透测试平台,能够查找,利用和验证漏洞。

Metasploit是一个免费的、可下载的框架,通过它可以很容易的对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。

Metasploit的设计初衷是打造一个攻击工具开发平台。

下载官网:Metasploit |渗透测试软件、渗透测试安全|Metasploithttps://www.metasploit.com/

 2.Metasploit体系框架

模块分为:

辅助模块--------------AUX

渗透攻击模块--------exploits

后渗透攻击模块------post

攻击在和模块---------payloads

编码器模块------------encoders

空指令模块------------nops

注:payload又称为攻击载荷,主要是用来建立目标机与攻击机稳定连接的。可返回shell,也可以进行程序注入等。

3. Metasploitable2-Linux靶机的安装

1.下载地址如下,点击下载即可。

Metasploitable download | SourceForge.nethttps://sourceforge.net/projects/metasploitable/?source=typ_redirect

2.安装虚拟机。打开虚拟机,选刚刚下载的文件中的.vmx文件,然后打开,选择我已复制。

 

 如图所示,开启成功。

 输入账号和密码。默认都是msfadmin。如图,登陆成功。

 修改root密码,如图修改成功。

 安装完成,我们进行快照,确保安全。

 4.Metasploit基本使用方法

metasploit程序需要使用Postgresql数据库,kali系统自带有,我们不需要再去安装。

Postgresql数据库官网:https://www.postgresql.org/

 1.kali启动postgresql数据库

systemctl start postgresql  --------启动数据库

systemctl enable postgresql-------设置开机自动启动数据库

 2.打开kali系统的metaspolit软件

 在漏洞利用工具集里面

当看到msf时说明已经开启成功。

 或者在终端模拟器中输入 msfconsole也可以打开这个软件。

如图,这里显示的是我们有多少个模块。

注:通过help可以查看帮助。

core commands  ------核心命令

module commands-----模块命令

job commands ---------后台任务命令

3.常用的命令

1.核心命令中的connect命令

connect命令------远程连接主机,一般用于内网渗透

如图,通过ip和端口号去链接我们刚刚搭建的靶机

 2.模块命令show使用方法

列车框架中的所有渗透攻击模块 exploits

 

 3.search搜索的使用方法

search -h  ------查看帮助信息

通过name进行查找

search mysql

 search ms08_067

 ms08_067是一个漏洞,可能会允许远程代码执行

 每一列的含义:

name----名称

disclosure date ----披露日期

rank-----等级

check----检查

description---说明

rank按照可靠性降序排列:

excellent-----great--good---normal---average---low---manual

等级越高,越容易利用

 通过路径去查找

 4.缩小查询范围 platform

所查询出来的等级都比较高

 search platform:mysql

5.通过类型进行查找

使用type命令

search type:exploit

6.联合查询

search type:exploit name:mysql

 7.根据CVE搜索exploit相关模块

CVE:就像是一个字典,可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息。

 search cve:CVE-2017-8464

 查找2018年linux相关的漏洞模块

search cve:2018 name:linux

8.use的使用方法

 1.查找出自己想要的ms08_067漏洞模块

 2.装在一个渗透攻击模块

 3.退出这个模块  back

 4.通过info可以看到这个模块的详细信息

 如果要使用的话,选择中国的。如图。

以上是关于Metasploit渗透测试(框架介绍靶机安装基本使用方法)的主要内容,如果未能解决你的问题,请参考以下文章

Metasploit渗透测试实验报告

渗透学习 | Metasploit技术

Metasploit渗透测试魔鬼训练营的作品目录

网络安全人员一定要知道的Metasploit渗透框架!

看完这篇 教你玩转渗透测试靶机vulnhub——My File Server: 2

DC-9 靶机渗透测试