Kali渗透测试:自动播放文件攻击

最新推荐文章于 2024-06-19 10:23:05 发布
最新推荐文章于 2024-06-19 10:23:05 发布
阅读量601 收藏 10
点赞数
分类专栏: 渗透测试 笔记 文章标签: 安全 渗透测试 运维 Kali
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41905135/article/details/124845065
版权

Kali渗透测试:自动播放文件攻击

我们经常会遇到这样一种令人十分烦恼的木马文件,如只要U盘插到计算机上,就会立刻执行的病毒。SET中也提供了这种攻击方式。

图中红框所示的第3种攻击方式就是感染式媒介生成器, 这里的媒介指的就是光盘和U盘等。目前,光盘已经极为少见了,所以我只介绍U盘这种媒介感染。

当这种渗透测试执行时,会产生两个文件,一个是autorun.inf文件,另一个是Metasploit的攻击载荷文件,即payload.exe文件。当这个移动媒介(如U盘)插入计算机上时,autorun.inf文件就会自动执行另一个攻击模块。这里的攻击模块有两种选择,第一种是基于文件格式的渗透模块,如下图所示:

第二种是Metasploit的执行模块,这里选择第二种,如下图所示:

然后选择要执行的功能,如下图所示:

这里我们选择要使用的攻击载荷,如上图所示的第二种,然后设置攻击载荷的IP地址和端口。如下图所示,将IP地址设置为192.168.68.125,端口设置为5555。

系统会根据你的输入生成U盘自动运行的程序。这需要一段时间,等一会儿会生成两个文件即payload.exe文件和autorun.info文件。两个文件生成完毕之后位于/root/.set/autorun/目录下。注意这是一个隐藏目录,在资源管理器下是看不到的。如下图所示:

将这两个文件复制到一个USB设备中。随后SET会询问是否创建一个监听器。

选择“yes”后,系统会启动Metasploit, 然后自动创建一个handler,如下图所示:

接下来,我们将/root/.set/autorun/目录下的两个文件复制到外部,在tmp下创建一个test目录,然后执行如下命令:

┌──(root💀kali)-[~]
└─# cd /root/.set/

┌──(root💀kali)-[~/.set]
└─# cp -r /root/.set/autorun/* /tmp/test/

┌──(root💀kali)-[~/.set]
└─# cp -r /root/.set/payload.exe /tmp/test/

将上面两个文件复制到U盘,然后将U盘插入另一台计算机中,如下图所示:

当计算机执行了Autorun.inf,就会加载payload.exe。然后返回到Kali Linux,可以看到打开的会话,如下图所示:

成功渗透,现在操作系统的安全性能不断提高,autorun.info文件很难执行。但是你是否考虑过,当你使用一个来历不明的鼠标、键盘,甚至一个充电器时,都可能导致系统被渗透呢?

09自动播放文件攻击
2301_78256093的博客
04-15 444
自动播放文件攻击
使用SET实施攻击
qq_44111753的博客
12-13 608
1、针对性钓鱼攻击向量 1)启动社会工程学 2)选择社会工程学(1) 3)选择攻击类型,这里选择钓鱼攻击向量(1) 输出信息中显示了钓鱼攻击向量的可用工具载荷 4)这里选择电子邮件攻击(1) 输出的信息显示了钓鱼向量中可以使用的文件格式,默认是PDF格式 5)这里利用的是Abobe PDF的Collab.collectEmaillnfo漏洞,所以选择编号8 输出信息显示了攻击的方式 6)这里选择第二个模块 攻击载荷创建完成,询问是否要重命名文件 7)使用默认文件(1) 输出信息显示了邮件攻击的方式
MetaSploit攻击实例讲解------Metasploit自动化攻击(包括kali linux 2016.2(rolling) 和 BT5)...
weixin_34062329的博客
05-20 6166
       不多说,直接上干货!           前期博客 Kali linux 2016.2(Rolling)里Metasploit连接(包括默认和自定义)的PostgreSQL数据库 Kali linux 2016.2(Rolling)里Metasploit连接(包括默认和自定义)的PostgreSQL数据库之后的切换到指定的工作空间 msf > ...
kali linux 通过粘贴板攻击对方服务器
QQ670663的博客
02-20 2358
模拟剪贴板劫持对目标进行攻击。简而言之,粘贴劫持是恶意网站用来控制您计算机的剪贴板并在您不知情的情况下将其内容更改为有害内容的一种方法。所以在这里所做的是自动化原始攻击并添加另外两个技巧来欺骗用户,使用 HTML 和 CSS将讨论它然后添加 meterpreter 会话。
重放攻击之无线门铃
02-09 697
准备工作: 这里使用的设备是hackrf,所以需要在kali下安装hackrf的驱动和环境。打开终端,在终端中输入以下命令: sudo apt-get install hackrf libhackrf-dev libhackrf0 安装完毕之后,插上hackrf,运行以...
Kali渗透测试:使用Word宏病毒进行渗透攻击
澎湖Java架构师的博客
05-17 589
Kali渗透测试:使用宏病毒进行渗透攻击 VBA是基于Visual Basic发展而来的,与Visual Basic具有相似的语言结构。使用VBA可以完成很多事情,基于Excel、Word的VBA小程序不计其数。宏病毒在Word中引入宏之后出现的。目前Office 是较为流行的编辑软件,并且跨越了多种操作系统,宏病毒利用这一点得到了大范围的传播。 构造一个包含宏病毒的Word文件也并不复杂,只要编写一个Auto_Open函数,就可自动引发病毒。 在Word打开这个文件时, 宏病毒会执行, 然后感染其他文件
Kali Linux自动化渗透测试:用Python实现高效攻击(代码不再枯燥)
[Kali Linux自动化渗透测试:用Python实现高效攻击(代码不再枯燥)](https://cdn.educba.com/academy/wp-content/uploads/2024/04/Statistics-With-Python.jpg) # 1. Kali Linux与Python的渗透测试基础 渗透测试是...
从实践中学习Kali Linux渗透测试
cc123489ll的博客
06-19 839
1.1.1 黑盒测试黑盒测试(Black-box Testing)也称为外部测试(ExternalTesting)。采用这种方式,测试者将从一个远程网络位置评估目标网络基础设施,并没有任何目标网络内部拓扑等相关信息。完全模拟真实网络环境中的外部攻击者,采用流行技术与工具有组织、有步骤的对目标组织进行渗透和入侵,揭示目标网络中一些已知或未知的安全漏洞,并评估这些漏洞能否被利用。优点:有利于挖掘出系统潜在的漏洞,以及脆弱环节和薄弱点。缺点:测试较为费时和费力,同时需要渗透测试者具备较高的技术能力。
渗透测试后台目录扫描工具dirmap-kali版本
最新发布
11-23
Kali Linux是一个以渗透测试为主要目标的Linux发行版,它预装了许多安全渗透测试工具,为网络安全人员提供了一个强大的工作平台。Dirmap作为其中一个工具,专注于扫描网站后台目录,能够快速发现网站的文件和...
Kali Linux上自动安装额外的渗透测试工具-Linux开发
05-27
Kali Linux上自动安装额外的渗透测试工具WeaponizeKali.sh是一个Bash脚本,旨在自动化在Kali Linux上下载和安装用于内部渗透测试的额外工具的过程。 该项目背后的基本原则是:使用最新版本的攻击性工具包来拥有其...
kali视频学习笔记
cj1064789374的博客
08-29 3322
kali学习笔记
Bad usb实现U盘攻击
qq_40624810的博客
09-18 7536
1、Bad usb介绍及原理 介绍 BadUSB是利用伪造HID设备执行攻击载荷的一种攻击方式。用户插入BadUSB,就会自动执行预置在固件中的恶意代码,如下载服务器上的恶意文件,执行恶意操作等。由于恶意代码内置于设备初始化固件中,而不是通过autorun.inf等媒体自动播放文件进行控制,因此无法通过禁用媒体自动播放进行防御,杀毒软件更是无法检测设备固件中的恶意代码。这种攻击方式可以在不经意...
信息安全技术 在kali中完成身份认证攻击
ADKDLBJ的博客
05-11 1496
一、什么是身份认证攻击:身份认证攻击是指攻击者试图获取或利用合法用户的身份信息,以便获得对系统、网络或应用程序的访问权限。身份认证攻击通常包括以下几种类型:1. 密码猜测攻击攻击者通过尝试多个可能的密码来猜测用户的密码,以便获得对系统或应用程序的访问权限。2. 社会工程学攻击攻击者通过欺骗、诱骗或其他手段来获取用户的身份信息,例如通过钓鱼邮件、电话诈骗等方式。3. 中间人攻击攻击者通过在用户和服务器之间插入恶意软件或设备,来截获用户的身份信息,以便获得对系统或应用程序的访问权限。
信息安全实践1.2(重放攻击)
沉在海里的鱼的博客
05-29 2424
这个实验是看一本书做的,就是李华峰老师的书——《Metasploit Web 渗透测试实战》,我之前写过一篇Slowloris DoS攻击的博客,也是看这本书写的,总的来说,有用处。我们自行添加要爆破的密码,点击Load..加载虚拟机中的密码字典,没有的话,可以使用crunch(kali自带的工具)自动生成密码字典。如图,这时我们无法直接进入网页,按如图操作后,发现一直无法进入网页,同时BurpSuite界面弹出,说明成功拦截了链接。使用重放攻击工具,构造数据包进行重放攻击,检查、分析工具情况。
九、Kali Linux 2 社会工程学工具
m0_55313512的博客
02-20 1323
Kali Linux 网络渗透测试
kali linux 渗透测试之内网渗透
05-02
理论加实战结合,学习后具备自动化批量控制内网主机的能力,具备安全工程师岗位的基本能力。专注培养高薪网络安全人才,帮助大家了解并学习网络安全,传授黑白帽实战技能,带领零基础小白正式踏入入门阶段。
初探Metasploit的自动攻击
热门推荐
要不,单步调试走起?
01-08 1万+
本文总结下研究强大渗透平台:Metasploit结合强大的扫描器:Nessus,nmap后的自动攻击手法。
Kali-WIFI攻防(三)----Gerix-wifi-cracker自动化破解
fendo
04-04 9232
一、工具简介 Gerix Wifi Cracker是另一个aircrack图形用户界面的无线网络破解工具。 因为kali-linux自带qt4,而gerix-wifi-cracker-master是基于qt3的,所以kali-linux下默认没有安装该软件;如何在kali-linux下安装gerix-wifi-cracker-master? 已经有人把gerix-
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bruce_xiaowei

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值