Web渗透测试实战——(2

于 2024-09-22 18:24:06 发布
阅读量1k 收藏 17
点赞数 23
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45298122/article/details/142440902
版权

三、Metasploit各生命周期中使用的组件与模块

四、Metasploit 辅助工具

1. Nessus

最流行的漏洞评估工具之一。它属于漏洞扫描程序类别。一旦Nessus告诉我们目标系统上存在哪些漏洞,我们就可以将这些漏洞提供给Metasploit,看看它们是否可以被真正利用。

2. 安装

Windows

  1. https://www.tenable.com/products/nessus/
  2. 选择合适版本(32-bit/64-bit)
  3. 下载并安装msi文件
  4. Open a browser and navigate to the URL :https://localhost:8834/
  5. 设置新username和password以访问Nessus控制台
  6. 申请注册, 点击 registering this scanner
  7. 访问http://www.tenable.com/products/nessus/nessus-plugins/获取激活码,选择 Nessus Home 输入注册详尽信息
  8. 输入通过电子邮件收到的注册码

Linux(详细)

  1. https://www.tenable.com/downloads/nessus?loginAttempted=true
  2. 以 kali linux (Debian 64位)为例
  3. 拖动文件,复制到kali linux 中
  4. dpkg -i Nessus-8.15.3-debian6_amd64.deb
  5. service nessusd start
  6. service nessusd status
  7. 访问 https://localhost:8834/
  8. 选择Managed Scanner,然后选择继续
  9. 选择Tenable.sc
  10. 设置username和password ,之后等待安装
  11. 注册邮箱 ,获取激活码
  12. 控制台进入 Nessus文件:
cd /opt/nessus/sbin/
./nessuscli fetch --challenge 获取challenge code

13.访问:https://plugins.nessus.org/v2/offline.php 输入challenge code 和激活码,下载

all.-2.x.tar.gz

14.将all.-2.x.tar.gz拖动至/opt/nessus/sbin下:

    1: cp all-2.0.tar.gz /opt/nessus/sbin/
    2: cd /opt/nessus/sbin/
    3: ./nessuscli update all-2.0.tar.gz
    4:  cp -r /opt/nessus/lib/nessus/plugins/ /opt/nessus/lib/nessus/plugins.bak/
    5:  service nessusd restart

15.后续操作修改plugin_feed_info.inc文件:

    1: vim /opt/nessus/var/nessus/plugin_feed_info.inc
    2: vim /opt/nessus/lib/nessus/plugins/plugin_feed_info.inc
    3: service nessusd restart
    4: cd /opt/nessus/lib/nessus
    5: rm -rf plugins
    6: mv plugins.bak/ plugins
    7: 重启kali
    8: service nessusd start
    9: 重新访问 https://localhost:8834/ 等待更新

3. kali自带 Namp

4. kali 自带Metasploit

kali安装 (虚拟机)

https://www.kali.org/get-kali/#kali-virtual-machines
安装完成后:

1.控制台输入 msfconsole

2.msf命令教程:https://www.offensive-security.com/metasploit-unleashed/msfconsole-commands/

实例教程(仅供教学测试)

虚拟机:Windows XP(远程执行代码)https://docs.microsoft.com/en-us/security-updates/securitybulletins/2012/ms12-020

1.msf6> search ms12-020

2.use auxiliary/dos/windows/rdp/ms12_020_maxchannelids

 3.查看并设置参数(本地局域网测试)

   show options


set RHOST 192.168.116.35
RHOST => 192.168.116.129

4.run

五、整理的帮助文档

官方文档:https://www.offensive-security.com/metasploit-unleashed/

Metasploit社区:http://resources.metasploit.com/

Metasploit指南:https://metasploit.help.rapid7.com/docs

笔者因才疏学浅初次尝试,尚有许多不足,望多加指正!
该期下一分节:渗透测试实战——(2.2)使用Metasploit进行Web渗透

🍻支持一下

觉得我写的好的话可以支持一下我哦~持续关注我,会更新其他好玩且实用的项目。

网络安全学习路线

这是一份网络安全从零基础到进阶的学习路线大纲全览,小伙伴们记得点个收藏!

1.学习路线脑图

高清的可自行下载

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

weixin_45298122
关注
渗透测试18---Metasploit 实战
初遇我ㄖ寸の热情呢?
04-14 7747
Metasploit简称msf (msf5>banner 看一些花里胡哨的东西) 1.nmap与msf配合的完整案例 nmap与msf配合的流程 0.漏洞发布:无论是操作系统层次还是应用层次的,都会发布漏洞(比如:MS08-067)。我们要关注信息。(微软的漏洞都会以MS开头,其他漏洞可能是CVE-之类的,search的时候可以查找到) 有时候会发布在公共的平台里面 1.确定需求...
Web渗透测试实战——(2.1)Metasploit 6.0初步
fly_enum的博客
07-03 261
Metasploit本质上是一个健壮且通用的渗透测试框架。它可以执行渗透测试生命周期中涉及的所有任务。有了Metasploit的使用,只需要关注核心目标,支持行动都将通过框架的各个组件和模块来执行。此外,由于它是一个完整的框架,而不仅仅是一个应用程序,因此可以根据我们的需求进行定制和扩展。
MetaSploit实战
yuehuajiang7的博客
01-17 318
MS08-067和MS17-010 前期准备 kali Linux自带Metasploit,直接使用命令msfconsole启动即可 1.软件配置 2、建立搜索缓存(数据库) 启动PostgreSQL数据库服务:service postgresql start监听5432端口 初始化Metasploit数据库:msfdb init 查看数据库连接情况:msfconsole db_status 2.漏洞扫描 目标靶机为 Windows xp professional(因为后来换了一个系统,所以ip会不一
BurpSuite实战教程01-web渗透安全测试(靶场搭建及常见漏洞攻防)
m0_61869253的博客
02-21 2102
渗透测试(Penetrationtest)即安全工程师模拟黑客,在合法授权范围内,通过信息搜集、漏洞挖掘、权限提升等行为,对目标对象进行安全测试(或攻击),最终找出安全风险并输出测试报告。Web渗透测试分为白盒测试和黑盒测试,白盒测试是指目标网站的源码等信息的情况下对其渗透,相当于代码分析审计。而黑盒测试则是在对该网站系统信息不知情的情况下渗透。Web渗透分为以下几个步骤,信息收集,漏洞扫描,漏洞利用,提权,内网渗透,留后门,清理痕迹。
Web渗透测试实战:基于Metasploit 5.0
华章IT官方博客
03-28 4124
在当今快速发展的技术世界中,信息安全行业正以惊人的速度变化,与此同时,针对组织的网络攻击数量也在迅速增加。为了保护自己免受这些来自真实世界的攻击,许多组织在其流程管理中引入了安全审计以及风险和漏洞评估机制,旨在评估与其业务资产有关的风险。为了保护IT资产,许多组织聘请信息安全专业人员,以识别组织的应用程序和网络中可能存在的风险、漏洞和威胁。对于信息安全专业人员来说,掌握并...
安全之路:Web渗透技术及实战案例解析(第2版) 高清带标签
06-28
《安全之路:Web渗透技术及实战案例解析(第2版)》是一本深入探讨Web安全领域的专业书籍,针对Web应用程序的安全性提供了全面的理论知识和实践经验。本书旨在帮助读者理解和应对日益严重的网络安全威胁,通过学习Web...
Web安全攻防——渗透测试实战指南
2401_83699724的博客
03-26 1746
全章节一共7章,看完对你收获满满!
web安全攻防渗透测试实战指南
jhf223344的博客
04-05 9050
1. Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 --exclude 19...
渗透测试入门—— 常见术语概述
weixin_46694260的博客
12-26 9082
00x1 前言 刚入门小白,收集了一些渗透术语,废话不多说。 00x2 渗透术语 1.脚本 动态网站(如:asp,php,jsp), linux, python 2.网站 2.1静态网站:与后台交互比较少,如html) 2.2动态网站:使用动态脚本编写 如:asp,php,jsp,交互方便但是安全性不高,如果代码过滤不严格可能会导致漏洞最终导致后台linux被别人随意操作 3.http协议 http(HyperText Transfer Protocol),超文本传输协议。是因特网上应用最为广泛的一种网络传
web渗透与实战
09-30
本书精讲了web渗透技术,以部分实战经历来详细介绍。适合有一定经验的来学习
Web渗透技术及实战案例解析》
05-24
Web渗透技术及实战案例解析》,网络安全学习必备,信息安全类书籍
web渗透视频教程
12-24
web渗透视频教程共计28GB,只有你想不到的,没有我们做不到的快来学习吧,成为IT大牛你行的!!!
metasploit-framework-6.0.27
01-29
漏洞利用框架,Windows版本
web安全攻防渗透测试实战指南_web安全攻防渗透测试实战指南
最新发布
baimao__Ch的博客
05-05 1108
网站系统内置WAF(在网站内内置的过滤,直接镶嵌在代码里,自由度比较高,有以下四种:①输入参数强制类型转换②输入参数合法性检测③关键函数执行,对经过代码流程的输入进行检测④对输入的数据进行替换过后再继续执行代码执行流程)网站系统内置的WAF与业务更加切合,在对安全与业务都比较了解的情况下,可更。文件上传漏洞概述:在现代互联网的我web应用程序中,上传文件是一种常见的功能,上传文件的时候如果服务器脚本语言对上传的文件进行严格的过滤就有可能上传恶意文件,从而控制整个网站,甚至是服务器。
Kali渗透测试:Metasploit 6.0 中的Evasion模块
Liu_Bruce的博客
05-11 805
Kali渗透测试:Metasploit 6.0 中的Evasion模块 Metasploit 开发团队一直致力于免杀技术的研究,并且将一些研究成果应用在了这款产品中。其中Evasion模块可以生成免杀的远程控制被控端。在启动Metasploit时,可以看到Evasion模块,启动命令如下: ┌──(root💀kali)-[~] └─# msfconsole 8个evasion模块,如下图所示: 使用show evasion命令可以列出Metasploit 6.0中的所有Evasion模块 msf6 &g
metasploit用法案例
xqhlsjslcy的博客
06-17 1043
metasploit是一款非常好用的渗透测试工具。其中包含了九百多个exploit(攻击模块),两百多个payload(攻击成功之后要执行的一串代码,通常用来做远程控制),是做安全工作必不可少的一款软件。下面展示一个利用该工具渗透microsoft xp sp2的一个过程。 1.进入界面:msfconsole 2.show +两个tab键可以开始查看它自带的攻击模块,show exploits
信安学习day1:metasploit的基本介绍和两个实战
weixin_73760178的博客
08-01 184
信安学习day1
CentOS 6.x安装Metasploit
weixin_30443731的博客
04-04 260
网上关于CentOS系统下安装Metasploit的教程一堆有一堆,我这里也没有什么新意,完全就是一步一步的走一遍,算是做个笔记,往后备查。 首先,我的系统是CentOS 6.4_x64版本。更新一下系统,如果系统比较老,这个时间可能会比较长,命令如下: yum update yum upgrade 开始安装Metasploit需要的所有依赖包,...
手动探索:Web安全测试实战——SQL注入、XSS与文件上传漏洞防范
本文将深入探讨"web安全——手动测试"这一主题,主要关注以下几个关键点: 1. **安全测试与传统测试的区别**: - 目标不同:传统测试侧重于发现软件的功能缺陷(bug),而安全测试更关注识别和评估潜在的安全威胁...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值