使用msf专业版自动化渗透测试出报告?

最新推荐文章于 2024-05-30 14:18:45 发布
最新推荐文章于 2024-05-30 14:18:45 发布
阅读量651 收藏 11
点赞数 5
分类专栏: 渗透测试 网络安全 互联网 文章标签: 自动化 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Javachichi/article/details/137968557
版权
互联网 同时被 3 个专栏收录
614 篇文章 83 订阅
订阅专栏
网络安全
187 篇文章 6 订阅
订阅专栏
渗透测试
172 篇文章 6 订阅
订阅专栏

弄来一个msf专业版的License, 听说专业版功能可以自动化渗透测试并且出报告…厉害厉害…那以后工作不就简化了?赶紧测试一番…

01

环境部署

首先是下载,平时用的都是kali自带的社区版验证漏洞玩下木马之类的,那先下载个专业版msf,msf有windows版本,这个可以从官网中可以看到,装一个windows的试试…

https://www.metasploit.com/

下载地区不支持…兄弟们是怎么下载到的…

最后拿到一个安装包,metasploit-latest-windows-installer.exe,看下数字签名,还是最近9月的…

安装过程很简单,安装完导入License.zip居然就直接显示激活了…在哪搞到序列号的…真行…

安装完访问https://ip:3790看下license把

…只有90多天剩余…这尼玛…坑啊…以为是永久

02

渗透测试

算了,将就用下…

一、主要结构

首先这个界面结构比较简单明了,先是创建一个项目,进去项目后,流程分为4部分

发现、爆破和渗透、web应用、社会工程…后续主要是在这几块展开,再加上右上角的task,就是针对目标进行的各种任务列表

二、扫描部分

第一部分主要是发现,功能主要是scan和nexpose scan…

测试了下,scan服务还是比较精准的…nexpose要额外安装…既然要测试,那就顺便下载一个安装下…都是一家的…用企业邮箱注册个nexpose… 注意,一个序列号只能用一次,不过企业邮箱可以获取多个序列号…

不过这xpose资产管理加漏扫还是不错的,可惜只能扫描512个IP地址

msf配置nexpose,nexpose随便装在哪台机器上都行…可以远程访问

三、爆破和漏洞利用

第二部分是爆破和漏洞利用,这个是主要的,要多测试下…

这个界面做的还是不错的…简单明了,

第一块目标设置默认

第二块选择默认字典Attempt factory defaults

第三块选中在猜测到凭据时停止对目标进行暴力破解

mysql爆破成功

这一块问题主要有2个

1、默认字典很少,找了下msf安装目录,字典都去哪了?

2、自动化漏洞利用尝试、这就发现很坑了…

一旦开启自动化渗透任务,它不管你端口有没有开放,直接就是上脚本…这都不是主要的…主要是一共显示1115个脚本要跑,我观察了下…一个小时过去了…跑完356个…这全部跑完…晚上别下班了?按理说可行是可行,效率去哪了

四、爆破和漏洞利用

再下面就是web应用测试部分,你说之前用过AWVS老版本吧,也都懂,配置cookie,配置地址排除,扫描选项等等就完了,它就自动爬啊,爬完就扫这些地址啊…

这个msf的爬行他爬不好…准确来说是乱爬…

装个dvwa测试下

这都扫出来的什么玩意儿…测试配置了多次…也没见扫到我要的注入,xss,rce…

五、社会工程

这块暂时没有测试

最后测试了下扫描测试网站

http://testphp.vulnweb.com/

nmap的scanme

http://scanme.org/

准备开个msfable虚拟机器试下自动反弹shell之类的…

想象很丰满…现实很骨感…

为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

Python_chichi
关注
  • 5
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
metasploit 自动化攻击
土拨鼠挖洞中的博客
10-04 2177
第一步开启postgresql数据库         第二步:切入到数据库中       第三步:创建用户名和密码       第四步进入数据库,创建数据库       第五步退数据库进入msf       注意:1.开启数据库后进行的所有操作都可以保存在数据库中方便查阅       2.开启数据库后可以调用NMAP,nessus,等漏...
MSF连接数据库并导入nmap扫描结果
野原新之助
12-22 3278
启动数据库:/etc/init.d/postgresql start 修改用户 postgres 的密码为 postgres:sudo -u postgres psql ALTER USER postgres WITH PASSWORD 'postgres'; root@kali:~# sudo -u postgres psql psql (11.2 (Debian 11.2-2)) 输...
MSF自动化浏览器攻击与后门安装
自学编程_youkewang.top
02-26 4491
0x01:自动化浏览器攻击介绍: browser_autopwn是Metasploit提供的辅助功能模块。在用户访问Web页面时,它会自动攻击受害者的浏览器。在开始攻击之前,browser_autopwn能够检测用户使用的浏览器类型, browser_autopwn将根据浏览器的检测结果,自行部署最合适的exploit。   0x02:首先进入metasploit,然后搜索该模块,如图1-
msf攻击windows实例
最新发布
qq_52712762的博客
05-30 1538
环境:攻击机kali(192.168.129.139),目标机windows10(192.168.129.132)方法一:通过web站点,使用无文件的方式攻击利用执行(命令执行漏洞)方法二:通过web站点,上传webshel,返回给msfmsfvenom)方法三:攻击其他端口服务,拿到meterpreter(445)
windows提权--MSF全自动
金灰的博客
04-19 497
免责声明:本文仅做技术交流与学习,请知法守法,不要乱搞破坏等等拿到webshell后,我们通过MSF进行全自动的提权.
E023-渗透测试常用工具-使用Armitage的MSF进行自动化集成渗透测试.pdf
12-02
总的来说,本课程通过实际操作展示了如何利用Armitage和MSF进行自动化渗透测试,包括网络侦查、漏洞扫描、目标定位以及选择合适的攻击模块。这对于网络安全专业人员来说是一项至关重要的技能,能有效提升评估和保护...
移动端渗透测试框架MSF
09-24
移动安全框架MSF(Mobile Security Framework - MobSF)是一个全面的、开源的渗透测试和安全分析平台,专门针对移动应用,如Android和iOS应用程序。它为安全专家提供了自动化静态和动态分析工具,帮助他们在开发周期...
sqlmap使用笔记1
08-03
Sqlmap是一款强大的自动化SQL注入工具,它主要用于检测和利用SQL注入漏洞,帮助安全研究人员或渗透测试者高效地发现和利用数据库中的敏感信息。本篇笔记将深入探讨sqlmap的使用方法和功能,涵盖多个核心知识点。 1....
Web渗透-网络安全面试 面试宝典 2023最新65页超全解析.pdf
10-16
MSF则是一个开源的渗透测试框架,支持多种攻击向量,如创建木马连接(如reverse_tcp和bind_tcp,前者是客户端主动连接,后者是服务器等待连接)。 2. **信息收集**:这是渗透测试的第一步,包括WHOIS查询、DNS域...
MetaSploit渗透攻击平台
04-20
3. **自动化漏洞探测**:通过集成的自动化扫描工具,MetaSploit能够快速地识别目标系统中存在的已知漏洞,大大提高了渗透测试的效率。 4. **易于使用的图形界面**:除了命令行界面之外,MetaSploit还提供了图形...
msf5 自动攻击模块 db_autopwn
07-10
msf5 自动攻击模块 db_autopwn msf5 自动攻击模块 db_autopwn
metasploit自动化渗透攻击模块
11-18
metasploit自动化渗透攻击模块db_autopwn
Kali Linux 网络安全渗透测试
06-02
为什么学网络安全?1. 市场巨大每年各安全厂商收入高达400亿左右,随着5G的发展,万物互联时代,市场将进一步扩大。2. 薪资高网安人才的匮乏,用人开招聘薪资往往高于求职者的预期。3. 靠能力说话在网络安全专业专业技能竞争力要远高于学历本身。在网安专业只看能力不看学历也成了大家公认的原则。 网络安全未来10年的发展前景现代人的生活与网络息息相关,个人、企业信息的安全显示尤为重要,2018年报告的信息安全事件比2017年有所增加,一年几千万次。应对网络安全挑战,已越来越被重视。不管你是否从事网络安全行业相关工作,信息安全都显得越来越重要。 注意:视频教学内容仅用于网络安全渗透测试。其他行为,自己承担相应的责任,与作者无关。 
2020-10-06
qq_50346832的博客
10-06 151
有会linux 的大神吗
Metasploit自动化攻击——装X必备
渗透测试
06-04 599
Metasploit自动化攻击——装X必备 (1)首先进行一次普通渗透 msf6 > search ms08_067 Matching Modules ================ # Name Disclosure Date Rank Check Description - ---- --------------- ---- -----
MetaSploit攻击实例讲解------Metasploit自动化攻击(包括kali linux 2016.2(rolling) 和 BT5)...
weixin_34062329的博客
05-20 5529
       不多说,直接上干货!           前期博客 Kali linux 2016.2(Rolling)里Metasploit连接(包括默认和自定义)的PostgreSQL数据库 Kali linux 2016.2(Rolling)里Metasploit连接(包括默认和自定义)的PostgreSQL数据库之后的切换到指定的工作空间 msf > ...
初探Metasploit的自动攻击
热门推荐
要不,单步调试走起?
01-08 1万+
本文总结下研究强大渗透平台:Metasploit结合强大的扫描器:Nessus,nmap后的自动攻击手法。
mysql msf攻击_Metasploit自动攻击和选择模块攻击详解
weixin_28994935的博客
02-07 694
Metasploit自动攻击和选择模块攻击详解Author:魔术@Freebuf.com0x1自动攻击终端启动Metasploit,因为我现在SourceCode,所以这样启动!连接数据库安装方法,执行以下命令即可(请用ROOT执行)。deb http://ubuntu.mirror.cambrium.nl/ubuntu/ precise main universe ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值