Metasploit更新通告
OISPT 实验环境搭建技能训练文档 (Metasploit通用项目)
你好安全人员!我是Orserg一个高性能可开放托管组织,专针对初学安全人员提供最为简单并且完全免费的文档资料。很高兴认识你并且能让你从中学习到一些东西。如果你希望加入Orserg学到更多东西请在CSDN上搜索Orserg关注并且私信我们,我们会在第一时间接收到并且联系你。
OISPT:
近期我们发现在实验过程中,按照OISPT的实验项目流程有不太一样的问题。现在我们将对这个问题予以解释。
一般漏洞利用流程:漏洞利用示例
(1)调用漏洞利用模块
(2)设置RHOSTS配置
(3)无payload直接攻击
这样建立的会话,会从目标主机反弹一个管理员权限的cmd shell.
但在实际实验中我们遇到的情况是这样的:
当我们还原以前的设置无payload直接漏洞利用时,发现一处错误。提示漏洞利用完成,但没有建立会话(Shell)。
在新版本中的Metasploit中若调用模块后出现
No payload configured, defaulting to windows/x64/meterpreter/reverse_tcp
那么这意味着你只能使用当前默认payload或其他payload,并且默认payload返回的不只是管理员CMD权限还有功能更强大的Meterpreter.若你只想获取cmd shell,那么你可以去设置payload为以下内容
事实上Metasploit新版本中考虑很周到,因为比起cmd shell(只能输入系统识别的命令),Meterpreter Shell和其他Shell功能更为强大。
所有基本A5项目可直接跳过普通Shell交互,直接访问A6项目去学习Metasploit Meterpreter Shell的功能即可。