Kali Linux 渗透攻击测试

本文介绍了如何在KaliLinux环境中使用Metasploit进行针对AdobeFlashPlayer的被动攻击,涉及Metasploit的使用、AdobeFlash的漏洞CVE-2015-0311以及实际的渗透测试步骤。
摘要由CSDN通过智能技术生成

(一) 使用Metersploit对客户端发起攻击

前言

metasploit中还提供了大量的被动攻击方式。被动攻击方式需要得到受害者的配合才能成功,但是在日常生活中,这种攻击方式的成功率往往比主动攻击要高。
被动攻击的思路:渗透者构造一个攻击用的Web服务器,然后将这个Web服务器的网址发给目标用户,当目标用户使用有漏洞的浏览器打开这个网址时,攻击用的Web服务器就会向浏览器发送各种攻击脚本,如果其中某个攻击脚本攻击成功的话,就会在目标主机上建立一个meterpreter会话。

使用到的软件说明

Kali Linux

是一个基于 Debian 的开源 Linux 发行版,主要用于各种信息安全任务,如渗透测试、安全研究、计算机取证和逆向工程。以下是关于 Kali Linux 的一些详细信息:
开发者:Kali Linux 是开源社区和 Rapid7 公司的合作产品。
功能:Kali Linux 提供了常见的工具、配置和自动化,使用户能够专注于需要完成的任务,而不是周围的活动。它包含针对各种信息安全任务的特定行业修改以及几百种工具,如渗透测试、安全研究、计算机取证、逆向工程、漏洞管理和红队测试。
工具:Kali Linux 包含了超过 600 种渗透测试工具。从信息收集到最终报告,Kali Linux 使安全和 IT 专业人员能够评估他们的系统的安全性。
使用:Kali Linux 是一个多平台解决方案,对信息安全专业人员和爱好者来说,无论在哪里都可以轻松获取和免费使用。
定制:使用 metapackages,优化了安全专业人员的特定任务,以及一个高度可访问和文档齐全的 ISO 定制过程,始终可以轻松生成针对您特定需求的优化版本的 Kali。

Metasploit

是一个基于 Ruby 的、模块化的渗透测试平台,它使你能够编写、测试和执行漏洞利用代码
开发者:Metasploit 是开源社区和 Rapid7 公司的合作产品。
功能:Metasploit 不仅帮助安全团队验证漏洞、管理安全评估和提高安全意识,还赋予和武装防御者,使他们始终领先一步(或两步)。
使用:Metasploit 包含一套工具,你可以使用它来测试安全漏洞、枚举网络、执行攻击和规避检测。
基础:Metasploit Framework 是商业产品的基础。它是一个开源项目,提供了执行渗透测试和广泛安全审计的基础设施、内容和工具。

Adobe Flash

是一种多媒体软件平台,用于生产动画、桌面应用程序、移动应用程序、移动游戏和嵌入式Web浏览器视频播放器。以下是关于 Adobe Flash 的一些详细信息:
开发者:Adobe Flash 是由 Adobe Systems 开发的。
功能:Adobe Flash 用于创建矢量图形和位图动画,以及用于创建 Web 页面的互动性。它还支持双向流媒体音频和视频。
使用:Adobe Flash 广泛用于广告、动画电影、网站设计和游戏开发。

关于adobe_flash_hacking_team_uaf:

CVE-2015-0311 是一个在 Adobe Flash Player 中发现的未指定的漏洞
影响的版本:Adobe Flash Player 13.0.0.262 及更早的版本,以及 14.x, 15.x, 和 16.x 到 16.0.0.287 的版本,这些都是在 Windows 和 OS X 上的版本。此外,Linux 上的 11.2.202.438 版本也受到影响1。
漏洞类型:这是一个允许远程攻击者通过未知向量执行任意代码的漏洞。
漏洞利用:这个漏洞在 2015 年 1 月被野外利用。
公开日期:这个漏洞在 2015 年 1 月 23 日被公开。
更新日期:这个漏洞在 2015 年 2 月 14 日被更新。
漏洞来源:Adobe Systems Incorporated。
漏洞类别:执行代码。
CISA 行动:受影响的产品已经停止生产,如果仍在使用,应当断开连接。
CISA 描述:Adobe Flash Player 中的未指定漏洞允许远程攻击者执行代码

实验:

实验环境:填写如下IP地址
Kali 2主机IP:192.168.10.100
靶机(32位Windows 7,安装了Adobe Flash Player插件):192.168.10.139

(1)、启动Metarsploit:
msfconsole

启动MSF
(2)、查找与Adobe Flash Player有关的渗透模块:
search adobe_flash

查找与Adobe Flash Player有关的渗透模块
(3)、载入exploit/multi/browser/adobe_flash_hacking_team_uaf渗透模块,查看需要设置的参数并进行设置,启动模块。
(3.1)、载入渗透模块:
use exploit/multi/browser/adobe_flash_hacking_team_uaf
在这里插入图片描述
(3.2)、查看需要设置的参数:
show options
在这里插入图片描述
(3.3)、启动模块:
run
在这里插入图片描述
(4)、在目标靶机中访问该网址:

在这里插入图片描述
(5)、到kali中查看,会话已经建立:
在这里插入图片描述

  • 16
    点赞
  • 35
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Kali Linux是一种专门用于渗透测试和网络安全的操作系统。它集成了大量的渗透测试工具和资源,使得安全专业人员能够有效地评估和保护网络系统的安全性。 Kali Linux提供了多种渗透测试靶机,用于练习和测试渗透测试技术。这些靶机模拟了真实世界中的各种漏洞和攻击场景,帮助安全专业人员熟悉和理解不同类型的漏洞,并学习如何利用它们。 以下是一些常见的Kali Linux渗透测试靶机: 1. Metasploitable:Metasploitable是一个故意构建的易受攻击的虚拟机,它包含了多个漏洞和弱点,可以用于学习和实践Metasploit框架的使用。 2. DVWA(Damn Vulnerable Web Application):DVWA是一个故意构建的Web应用程序,包含了多个常见的Web漏洞,如SQL注入、XSS等,可以用于学习和实践Web应用程序渗透测试技术。 3. OWASP Mutillidae II:Mutillidae II是一个故意构建的Web应用程序,旨在模拟真实世界中的各种Web漏洞和攻击场景,包括SQL注入、文件包含等。 4. Hack The Box:Hack The Box是一个在线平台,提供了一系列的渗透测试靶机,每个靶机都有不同的漏洞和挑战,可以用于测试和提高渗透测试技能。 这些渗透测试靶机都可以在Kali Linux上进行安装和使用。通过实践和探索这些靶机,安全专业人员可以提高他们的渗透测试技能,并了解如何保护网络系统免受各种攻击

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值