一、模块
1.Auxiliary(辅助模块)
不会直接在测试者和目标主机之间建立访问,只负责执行扫描、嗅探、指纹识别等相关功能以辅助渗透测试
2.Exploit(漏洞利用模块)
漏洞利用是指由渗透测试者利用一个系统、应用或者服务中的安全漏洞进行的攻击行为。流行的渗透攻击技术包括缓冲区溢出、Web应用程序攻击,以及利用配置错误等,其中包括攻击者或测试人员针对系统中的漏洞而设计的各种POC验证程序,用于破坏系统安全性的攻击代码,每个漏洞都有相应的攻击代码
3.Payload(攻击载荷模块)
攻击载荷是目标系统在被渗透攻击之后完成实际攻击功能的代码,成功渗透目标后,用于在目标系统上运行任意命令或者执行特定代码,在 Metasploit 框架中可以自由地选择、传送和植入。攻击载荷也可能是简单地在目标操作系统上执行一些命令,如添加用户账户等
4.Post(后渗透模块)
主要用于在取得目标系统远程控制权后,进行一系列的后渗透攻击动作,如获取敏感信息、实施跳板攻击等
5.Encoders(编码攻击模块)
在渗透测试中负责免杀,以防止被杀毒软件、防火墙、IDS及类似的安全软件检测出来
二、渗透攻击步骤
- 扫描目标机系统,寻找可用漏洞
- 选择并配置一个漏洞利用模块
- 选择并配置一个攻击载荷模块
- 选择一个编码技术,用来绕过杀毒软件的查杀
- 渗透攻击