在以前没有漏洞渗透工具框架的时候,渗透测试者往往需要自己收集漏洞渗透代码,甚至需要自己编写针对漏洞的代码。这个时期的渗透测试效率是比较低的,而且成为一个合格渗透测试者的学习成本也是相当高的。
Metasploit是世界上非常优秀的渗透测试工具之一,但是长期以来这款工具很少应用在对Web服务环境的渗透测试中,这是因为早期版本的Metasploit缺乏针对Web服务环境的模块。随着技术不断发展,Metasploit中添加了越来越多的模块,尤其是支持Web环境的Meterpreter出现后,Metasploit逐渐走上针对Web服务环境进行渗透测试的舞台。
1、Metasploit 简介
2003年左右,美国的H. D. Moore(世界知名黑客)和Spoonm创建了一个集成多个漏洞渗透工具的框架。随后,这个框架在2004年的Black Hat Briefings上备受关注,Spoonm在大会的演讲中提到,Metasploit的使用方法非常简单,以至于你只需要找到一个目标,单击几下鼠标就可以完成渗透,一切就和电影里面演的一样酷。
强大的功能再加上简单的操作使得Metasploit在安全行业迅速传播,Metasploit很快成为业内著名的工具。
Metasploit有多个版本,其中既有适合企业使用的商业版本Metasploit Pro,提供了大量的功能,例如Web应用程序扫描工具、渗透模块、自动化渗透工具,十分适合专业渗透测试工程师和IT安全团队使用。Pro版主要用来实现专业的、高级的、大型渗透测试和企业安全项目。也有适合个人使用的免费版本Metasploit Community。Metasploit Express版这是一个为初级渗透测试工程师设计的版本。这个版本的Metasploit包含了智能化渗透、密码的自动化暴力破解等功能,十分适合中小型企业的IT安全团队使用。