Metasploit渗透测试(框架介绍、靶机安装、基本使用方法)

简介: Metasploit渗透测试(框架介绍、靶机安装、基本使用方法)

 1.metasploit介绍

Metasploit framework,简称msf。

Metasploit是一个渗透测试平台,能够查找,利用和验证漏洞。

Metasploit是一个免费的、可下载的框架,通过它可以很容易的对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。

Metasploit的设计初衷是打造一个攻击工具开发平台。

下载官网:

网络异常,图片无法展示
|

image.gif编辑

2.Metasploit体系框架

image.gif编辑

模块分为:

辅助模块--------------AUX

渗透攻击模块--------exploits

后渗透攻击模块------post

攻击在和模块---------payloads

编码器模块------------encoders

空指令模块------------nops

注:payload又称为攻击载荷,主要是用来建立目标机与攻击机稳定连接的。可返回shell,也可以进行程序注入等。

3. Metasploitable2-Linux靶机的安装

1.下载地址如下,点击下载即可。

网络异常,图片无法展示
|

image.gif编辑

2.安装虚拟机。打开虚拟机,选刚刚下载的文件中的.vmx文件,然后打开,选择我已复制。

image.gif编辑

image.gif编辑

如图所示,开启成功。

image.gif编辑

输入账号和密码。默认都是msfadmin。如图,登陆成功。

image.gif编辑

修改root密码,如图修改成功。

image.gif编辑

安装完成,我们进行快照,确保安全。

image.gif编辑

4.Metasploit基本使用方法

metasploit程序需要使用Postgresql数据库,kali系统自带有,我们不需要再去安装。

Postgresql数据库官网:https://www.postgresql.org/

image.gif编辑

1.kali启动postgresql数据库

systemctl start postgresql  --------启动数据库

systemctl enable postgresql-------设置开机自动启动数据库

image.gif编辑

2.打开kali系统的metaspolit软件

在漏洞利用工具集里面

image.gif编辑

当看到msf时说明已经开启成功。

image.gif编辑

或者在终端模拟器中输入 msfconsole也可以打开这个软件。

如图,这里显示的是我们有多少个模块。

image.gif编辑

注:通过help可以查看帮助。

core commands  ------核心命令

module commands-----模块命令

job commands ---------后台任务命令

3.常用的命令

1.核心命令中的connect命令

connect命令------远程连接主机,一般用于内网渗透

如图,通过ip和端口号去链接我们刚刚搭建的靶机

image.gif编辑

2.模块命令show使用方法

列车框架中的所有渗透攻击模块 exploits

image.gif编辑

image.gif编辑

3.search搜索的使用方法

search -h  ------查看帮助信息

通过name进行查找

search mysql

image.gif编辑

search ms08_067

image.gif编辑

ms08_067是一个漏洞,可能会允许远程代码执行

image.gif编辑

每一列的含义:

image.gif编辑

name----名称

disclosure date ----披露日期

rank-----等级

check----检查

description---说明

rank按照可靠性降序排列:

excellent-----great--good---normal---average---low---manual

等级越高,越容易利用

通过路径去查找

image.gif编辑

4.缩小查询范围 platform

所查询出来的等级都比较高

search platform:mysql

image.gif编辑

5.通过类型进行查找

使用type命令

search type:exploit

6.联合查询

search type:exploit name:mysql

image.gif编辑

7.根据CVE搜索exploit相关模块

CVE:就像是一个字典,可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息。

image.gif编辑

search cve:CVE-2017-8464image.gif编辑

查找2018年linux相关的漏洞模块

search cve:2018 name:linux

image.gif编辑

8.use的使用方法

image.gif编辑

1.查找出自己想要的ms08_067漏洞模块

image.gif编辑

2.装在一个渗透攻击模块

image.gif编辑

3.退出这个模块  back

image.gif编辑

4.通过info可以看到这个模块的详细信息

image.gif编辑

如果要使用的话,选择中国的。如图。

image.gif编辑


相关实践学习
使用PolarDB和ECS搭建门户网站
本场景主要介绍如何基于PolarDB和ECS实现搭建门户网站。
阿里云数据库产品家族及特性
阿里云智能数据库产品团队一直致力于不断健全产品体系,提升产品性能,打磨产品功能,从而帮助客户实现更加极致的弹性能力、具备更强的扩展能力、并利用云设施进一步降低企业成本。以云原生+分布式为核心技术抓手,打造以自研的在线事务型(OLTP)数据库Polar DB和在线分析型(OLAP)数据库Analytic DB为代表的新一代企业级云原生数据库产品体系, 结合NoSQL数据库、数据库生态工具、云原生智能化数据库管控平台,为阿里巴巴经济体以及各个行业的企业客户和开发者提供从公共云到混合云再到私有云的完整解决方案,提供基于云基础设施进行数据从处理、到存储、再到计算与分析的一体化解决方案。本节课带你了解阿里云数据库产品家族及特性。
相关文章
|
9月前
|
SQL 安全 Linux
Metasploit Pro 4.22.8-20251014 (Linux, Windows) - 专业渗透测试框架
Metasploit Pro 4.22.8-20251014 (Linux, Windows) - 专业渗透测试框架
448 1
Metasploit Pro 4.22.8-20251014 (Linux, Windows) - 专业渗透测试框架
|
9月前
|
Linux 网络安全 iOS开发
Metasploit Framework 6.4.95 (macOS, Linux, Windows) - 开源渗透测试框架
Metasploit Framework 6.4.95 (macOS, Linux, Windows) - 开源渗透测试框架
1005 1
Metasploit Framework 6.4.95 (macOS, Linux, Windows) - 开源渗透测试框架
|
10月前
|
安全 Linux 网络安全
Metasploit Pro 4.22.8-2025091701 (Linux, Windows) - 专业渗透测试框架
Metasploit Pro 4.22.8-2025091701 (Linux, Windows) - 专业渗透测试框架
514 2
Metasploit Pro 4.22.8-2025091701 (Linux, Windows) - 专业渗透测试框架
|
10月前
|
存储 安全 Linux
Kali Linux 2025.3 发布 (Vagrant & Nexmon) - 领先的渗透测试发行版
Kali Linux 2025.3 发布 (Vagrant & Nexmon) - 领先的渗透测试发行版
879 0
|
安全 网络安全
Kali渗透测试:使用Armitage扫描网络
Kali渗透测试:使用Armitage扫描网络
349 3
|
Java 网络安全 Windows
Kali渗透测试:使用 Armitage生成被控端和主控端
Kali渗透测试:使用 Armitage生成被控端和主控端
306 2
|
安全 Linux 网络安全
Kali 渗透测试:基于结构化异常处理的渗透-使用Python编写渗透模块(一)
Kali 渗透测试:基于结构化异常处理的渗透-使用Python编写渗透模块(一)
2358 2
|
Python Windows 网络安全
Kali 渗透测试:基于结构化异常处理的渗透-使用Python编写渗透模块(二)
Kali 渗透测试:基于结构化异常处理的渗透-使用Python编写渗透模块(二)
371 2
|
存储 安全 Linux
Kali Linux 2025.2 发布 (Kali 菜单焕新、BloodHound CE 和 CARsenal) - 领先的渗透测试发行版
Kali Linux 2025.2 发布 (Kali 菜单焕新、BloodHound CE 和 CARsenal) - 领先的渗透测试发行版
760 0