本文介绍了如何使用Kali Linux中的Metasploit框架对Web应用进行渗透测试,通过web_delivery模块创建木马并利用DVWA的命令执行漏洞进行攻击。详细步骤包括启动msf6,设置模块参数,执行run命令,以及在靶机上注入命令并建立Meterpreter会话。
Kali渗透测试:使用Metasploit对Web应用的攻击
Web应用程序的漏洞数量众多,这里我们以其中一个命令注入漏洞为例复现一下。这种漏洞源于Web应用程序没有对用户输入的内容进行准确的验证,从而导致操作系统执行了攻击者输入的命令。下面是一段运行在Metasploitable2靶机上的PHP脚本,它来自于DVWA,代码如下:
<html>
<body>
<form name="ping" action="#" method="post">
<input type="text" name="ip" size="30">
<input type="submit" value="submit" name="submit">
</form>
</body>
</html>
首先是是一个带有输入框的页面代码,在浏览器中这段代码会被执行成一个如下图所示的页面:
当用户在 图中所示的文本框中输入一个IP地址,例如“127.0.0.1”,服务器会将这个值传递给下面的PHP脚本进行处理。
<?php
if(isset($_POST['submit'])){
$target = $_REQUEST['ip'];
$c
最低0.47元/天 解锁文章
扫一扫
9460
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
