Metasploit 渗透测试(五)

最新推荐文章于 2022-03-28 08:00:00 发布
最新推荐文章于 2022-03-28 08:00:00 发布
阅读量1.3k 收藏 9
点赞数 7
分类专栏: 网络安全综合实践
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43894553/article/details/109379308
版权

Metasploit 渗透测试(五)

问题概述

构建针对SurgeMail程序CVE-2008-1498的Exploit程序。

执行过程

首先创建auxiliary/dos/windows/imap文件夹,通过vi编辑fuzz.rb(之后将其转移到目标文件夹auxiliary/dos/windows/imap下):
在这里插入图片描述
代码如下:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
之后reload全部文件(注意每当有修改时都要reload一次):
在这里插入图片描述
use fuzz:

在这里插入图片描述
在目标机中配置surgemail,kali中设置参数,其中IMAPUSER为surgemail中创建的用户chenyang,IMAPPASS为账号密码hust1220;测试fuz成功,如下图:

在这里插入图片描述
下面构建surgemail_list:
Vi在目标目录/usr/share/metasploit-framework/modules/exploits/windows/imap/下新建surgemail_list:
新建surgemail_list.rb:
在这里插入图片描述
写文件如下:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
Surgemail_list已成功建立:
在这里插入图片描述
设置参数进行攻击,第一次没能成功获得会话,第二次建立会话,成功获得shell:
在这里插入图片描述

可查看目标机器的任务管理器,发现surgemail开始消耗大量内存:
在这里插入图片描述

LALAAYANG
关注
  • 7
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
《web渗透测试实战:基于metasploit5.0》读书笔记:1.1~1.3
不念过去,不畏将来。
11-10 687
渗透测试的类型 白盒、黑盒、灰盒 渗透测试的阶段 阶段一:侦查 阶段二:枚举 阶段三:漏洞评估和分析 阶段四:漏洞利用(包括后渗透阶段) 阶段:报告 侦查 识别在非标准端口(用户自定义端口)上运行的应用:Amap、Nmap等。 识别DNS和子域名:dnsenum、dnsmap、dnswalk、dnsrecon、dnstracer、Fierce、dnscan、Sublist3r等。 识别技术平台:BlindElephant、Wappalyzer、WhatWeb等。 识别内容管理系统:WPScan、Jo
Kali Linux学习篇:Metasploit渗透测试框架入门到实战
07-24
1、课程概要     本课程主要分享Kali Linux渗透测试Metasploit Framework渗透测试框架入门学习到进阶实战全程课!2、课程目标      本课程致力于帮助广大学员掌握Metasploit渗透测试框架入门到进阶技术!
Metasploit详解 详细图文教程
u012558785的专栏
10-07 6708
Metasploit详解 详细图文教程   2013-05-25 00:58:02|  分类: 工具 |  标签: |举报 |字号大中小 订阅 一、metasploit简介     Metasploit是一款开源的安全漏洞检测工具,同时Metasploit是免费的工具,因此安全工作人员常用Metasploit工具来检测系统的安全性。Metas
Web渗透测试实战:基于Metasploit 5.0
华章IT官方博客
03-28 4074
在当今快速发展的技术世界中,信息安全行业正以惊人的速度变化,与此同时,针对组织的网络攻击数量也在迅速增加。为了保护自己免受这些来自真实世界的攻击,许多组织在其流程管理中引入了安全审计以及风险和漏洞评估机制,旨在评估与其业务资产有关的风险。为了保护IT资产,许多组织聘请信息安全专业人员,以识别组织的应用程序和网络中可能存在的风险、漏洞和威胁。对于信息安全专业人员来说,掌握并...
《web渗透测试实战:基于metasploit5.0》读书笔记:2.5.1 MSF入门
不念过去,不畏将来。
11-11 939
MSF控制台命令: 核心MSF控制台命令:这些命令是MSF控制台中最常用和通用的命令。 模块管理命令:使用这些命令管理MSF模块。你可以在这些命令的帮助下编辑、加载、搜索和使用Metasploit模块。 MSF作业管理命令:使用这些命令,你可以处理Metasploit模块作业操作,例如使用处理程序创建作业,列出在后台运行的作业以及取消和重命名作业。 资源脚本管理命令:使用资源脚本时,可以通过这些命令在控制台中执行脚本。你可以执行一个存储的脚本文件,也可以将MSF控制台启动时使用的命令存储到一个文件中 后台
Metasploit渗透测试魔鬼训练营 读书笔记
09-18
渗透测试-web渗透6.pdf 渗透测试-内网客户端渗透9.pdf 渗透测试-内网网络服务端渗透7.pdf 渗透测试-后渗透阶段10.pdf 渗透测试-实验拓扑环境4.pdf 渗透测试-情报搜集5.pdf 渗透测试-社会工程学8.pdf 渗透测试...
Metasploit渗透测试指南 修订版
09-21
Metasploit渗透测试指南 修订版》是一本深度探讨Metasploit框架的权威书籍,旨在帮助初学者和专业人士理解并掌握网络安全领域的渗透测试技术。Metasploit是一款强大的开源安全工具,广泛应用于安全评估、漏洞验证...
Metasploit渗透测试指南_渗透测试_metasploit_
10-04
**Metasploit渗透测试指南** 渗透测试是一种授权的安全测试,旨在发现并评估计算机网络和系统的弱点,以增强安全防御。Metasploit是一款广泛使用的开源工具,专为安全专业人士设计,用于执行这种测试。本指南将深入...
Metasploit渗透测试指南(全) .pdf
12-23
Metasploit渗透测试指南》是一本全面介绍Metasploit框架的权威书籍,它涵盖了从基础知识到高级技术的广泛内容,旨在帮助读者理解和掌握渗透测试的精髓。Metasploit是一款强大的安全工具,广泛用于安全研究、漏洞...
Web渗透测试实战(Metasploit5.0) 一
qq_43615118的博客
10-06 8749
Web渗透测试实战(Metasploit5.0) 一 什么是渗透测试 渗透测试(penetration testing)是对计算机系统的一种授权攻击,旨在评估系统/网络的安全性,执行测试以识别漏洞及其带来的风险。 渗透测试的类型 根据客户需求,渗透测试可以分为三类: 白盒(white box) 黑盒(black box) 灰盒(gray box) 白盒渗透测试 白盒渗透测试又称作玻璃盒渗透测试或透明盒渗透测试。通常在这种类型的渗透测试中,客户会分享关于目标系统、网络或应用的全部信息和细节,列如系统
安全渗透测试的尝试模块
weixin_51337717的博客
03-29 240
安全渗透测试的尝试模块 Socket 模块 Socket 模块的主要目的是帮助在网络上的两个程序之间建立信息通道 在Python中提供了两个基本的Socket模块 1、服务端Socket 2、客户端Socket 实例化Socket 类 在使用Socket 进行编程的时候,需要 实例化一个Socket类,需要三个参数: 1、地址族 2、流 3、使用的协议 服务端和客户端 使用Socket 建立服务端的思路主要是首先实例化一个Socket 类,然后开始循环监听,一直可以接受来自客户端的连接 成功建立连接之后,
CVE-2019-0708 漏洞复现(window server 2008 r2)
千寻的博客
01-04 6249
CVE-2019-0708 漏洞复现(window server 2008 r2) 0x00 漏洞概述 2019年5月15号,Windows操作系统远程桌面服务漏洞(CVE-2019-0708)威胁程度较高,攻击者可以利用此漏洞远程无需用户验证通过发送构造特殊的恶意数据在目标系统上执行恶意代码,从而获取机器的完全控制。此漏洞易被蠕虫病毒、勒索病毒等恶意程序利用。 0x01 基本情况 该漏洞存在于W...
MS08-067远程溢出漏洞(CVE-2008-4250)
n5xxxx__zy的博客
07-15 4000
MS08-067远程溢出漏洞 漏洞原理简述 攻击者利用受害者主机默认开放的SMB服务端口445,发送特殊RPC(Remote Procedure Call 远程过程调用)请求,通过MSRPC over SMB通道调用Server程序中的NEtPathCanonicalize函数时触发,NetPathCanonicalize 函数在远程访问其他主机时,会调用NetpwPathCanonic...
渗透测试笔记之浅谈MSFexploit开发(禁止盗版)
南城无笙的Blog
08-08 517
根据作者所学知识,写下本篇文章,msf全程metasploit framework,是一款十分出色的漏洞利用工具本篇文章不对具体的编写做过多介绍,只介绍思路。 基本知识 想要编写exploit,需要了解基本知识,先来了解寄存器,寄存器此处暂且提到三个,即ebp栈底指针寄存器,ESP栈顶指针寄存器,eip指令寄存器,其中最为重点的就要数eip寄存器了,想要运行shellcode获得shell,就要改写eip指针指向jmpesp指针,指向shellcode,从而获得shell。那么此处还要引入一个概念,即缓冲区
渗透测试
samtaoys的博客
10-16 6453
pantester 渗透测试是一种模拟恶意攻击者的技术与方法,挫败目标系统安全控制错失,去的访问控制权,并发现具备业务影响后果安全隐患的一种安全测试与评估方式 黑盒测试 对渗透攻击目标网络内部拓扑一无所知,完全模拟真实黑客有组织有步骤的渗透入侵过程 花费时间长 渗透测试者需要有较高的技术能力 白盒测试 对渗透攻击目标网络非常了解,以最小的呆家进行系统安全探测
Metasploit渗透测试模块(一)
weixin_34417183的博客
05-30 142
1、Metasploit模块加载 初始化界面,成功要加载数据库 查看 Metasploit中已近存在的漏洞模块使用 show payloads 转载于:https://www.cnblogs.com/xinxianquan/p/9113874.html...
在shell中用su命令
wl_haanel的专栏
08-21 2863
在shell中需要使用su命令变更用户,如果直接su root,在输入密码后,shell就退出了,应该用su -c command user。如:su -c "echo wanglei" root这样执行完echo后,回到原user,shell继续。
Python程序设计-安全渗透测试模块-Socket模块
Xunuannuan的博客
04-21 279
一、Socket模块 简介 Socket模块的主要目的是帮助在网络上的两个程序之间建立信息通道 两个基本的Socket模块、 服务端 客户端 当创建了一个服务端Socket 之后,这个Socket就会在本机的一个端口上 等待连接;客户端Socket会访问这个端口,当两者完成连接之后,就可以进行交互了 实例化 在Python中, Socket模块的使用十分简单。 在使用Socket进行编程...
Metasploit渗透测试实战指南
"Metasploit渗透测试指南中文版" Metasploit是网络安全领域中的一款强大工具,主要用于渗透测试和安全漏洞的研究。《Metasploit渗透测试指南》是一本深入讲解该平台的专业书籍,由David Kennedy、Jim O’Gorman、...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值