关于Metasploit这里有四个简单的问题,先供大家思考
01 metasploit是什么?
02 我们能使用metasploit用来干什么?
03 metasploit的专业术语有哪些?
04 我们使用该Metasploit进行渗透的时候,大致的步骤是什么?
那么接下来,我就来简单介绍一下相关内容。
01 metasploit是什么?
metasploit框架,即msf,是一个用于渗透测试的开源工具,可以理解为如果你是一名电工,要修理电器,而msf就相当于是你完备的工具箱。基本上你在维修过程中想到的,就会有工具让你用。
02 我们能使用metasploit用来干什么?
我们可以通过使用msf的所有插件,如payload、exploit、post模块等,直接对一个网站、主机进行渗透厕所,也可以通过命令行下输入msfconsole使用nmap、sqlmap等第三方程序
03 metasploit的专业术语有哪些?
专业术语:
1)auxiliaries(辅助模块)
该模块不会在测试者和被测试者之间建立访问连接,只负责指纹扫描、嗅探、执行扫描等相关功能用以辅助测试。
就相当于,入室抢劫之前,你会有一个观察这个房屋构造的步骤,看看有没有什么窗口可以偷偷潜伏进去,看看这个房屋构造有哪些是可以借机偷偷溜进去的
2)exploit(漏洞利用模块)
漏洞利用是指由渗透测试者利用一个系统、应用或者服务中的安全漏洞进行的攻击行为。流行的渗透攻击技术有:缓冲区溢出、web应用程序攻击、以及利用配置错误,其中包括攻击者针对系统中的漏洞而设计的各种poc验证程序,破坏系统安全性的攻击代码。
就相当于,入室抢劫时,你发现了有个低矮的窗户可以通过搭梯子的方式进入室内,于是你利用这个方式达到你入室抢劫的目标
3)payload(攻击载荷模块)
攻击载荷是我们期望系统目标在被渗透之后实际完成实际攻击的代码,成功渗透目标后,用于在目标系统运行任意命令或执行特定代码。也可以是简单在目标操作系统上执行一些如添加用户的命令。
就相当于,入室抢劫时,确定实施犯罪的具体人选。可以选择人进去,因为我们进去之后,可以到处搜值钱的东西,实施犯罪行为。也可以是选择投入一个机器人,这个机器人可以把收集的东西抛出来等等
4)post(后期渗透模块)
该模块主要用于在取得目标系统远程控制权后,进行一系列的后渗透攻击动作。如获取敏感信息、实施跳板攻击等。
就相当于,入室抢劫后,你作为犯罪者进入到室内,可以干的事情,比如先找到个逃跑路线(进程迁移)、到处翻看屋子里有没有银行卡信息、身份证信息(获取敏感信息)、磨个钥匙方便下次再次光临(后门)
5)encoders(编码工具模块)
该模块在渗透测试中负责免杀,防备杀毒软件等安全软件检测出来。
就相当于,入室盗窃时,你可以给自己套上黑丝袜,免得被监控设施拍到
04 我们使用该工具进行渗透的时候,大致的步骤是什么?
渗透攻击步骤:
①扫描目标主机,寻找可用漏洞
②选择并配置一个漏洞利用模块
③选择并配置一个攻击载荷模块
④选择一个编码技术,用来绕过杀毒软件的查杀
⑤渗透攻击
如果想了解更多有关与Metasploit的使用方法,欢迎关注我,我致力于以通俗易懂的语言带你一步步调教这个小玩意儿····```
