本节书摘来自异步社区《Metasploit渗透测试手册》一书中的第3章3.2节Exploit用法快速提示,作者【印度】Abhinav Singh,更多章节内容可以访问云栖社区“异步社区”公众号查看。
3.2 Exploit用法快速提示
在对目标机器使用漏洞利用代码和攻击载荷之前,我们需要先了解一些相关的基本知识。理解漏洞利用代码的使用非常重要,这样才能解决参数错误配置时可能出现的错误。下面介绍有关漏洞利用代码使用和参数设置的一些基本知识。
准备
要对目标使用漏洞利用代码,首先扫描目标寻找开放端口和服务,获取目标相关的充分信息,然后有针对性地选择合适的漏洞利用代码。下面分析一些可以直接在msfconsole中启动的漏洞利用代码使用命令。
怎样实现
下面列出了使用exploit时的一些常用命令。
msf > show exploits与msf > show payloads:这两条命令用于展示Metasploit目录中所有可用的漏洞利用代码和攻击载荷。
msf> search exploit:该命令用于搜索某个特定的漏洞利用代码,也可以使用该命令搜索任意特定的搜索项。该命令按如下方式进行传递。
msf > search exploit-name or search-term
例如下面的命令示例。
msf > search ms03_026_dcom
Matching Modules
================
Name Disclosure Date Rank
Description
---- --------------- ---- -----------
exploit/windows/
dcerpc/ms03_026_dcom 2003-07-16 great Microsoft RPC DCOM
msf > use exploit:该命令用于将任意exploit设置为活跃状态或待用状态,该命令按如下方式进行传递。
msf > use exploit name
执行该命令后,命令行提示符将切换为exploit类型。
msf > use exploit/windows/dcerpc/ms03_026_dcom
msf exploit(ms03_026_dcom) >
show options:该命令用于查看当前使用的exploit的可用选项或参数,各种参数包括主机IP地址、线程等,其中标记为yes的参数必须设置相应值以便有效执行该漏洞利用代码。
