官网:Metasploit | Penetration Testing Software, Pen Testing Security | Metasploi
Metasploit(MSF)渗透测试入门 - 知乎 (zhihu.com)
1、介绍
metasploit,简称msf,是一款开源安全漏洞利用和测试工具,集成了 各种平台上常见的溢出漏洞和流行的shellcode,并持续保持更新
- 存在社区免费和pro收费两个版本,kali默认安装msf社区版
- msf基于postgresql数据库
2、使用
2.1 启动
msfconsole- 启动msf控制台,然后直接交互
2.2 模块
- Auxiliary(辅助模块)为渗透测试信息搜集提供了大量的辅助模块支持
- Exploits(攻击模块)利用发现的安全漏洞或配置弱点对远程目标系统 进行攻击,从而获得对远程目标系统访问权的代码组件。
- Payload(攻击载荷模块)攻击成功后促使靶机运行的一段植入代码
- Post (后渗透攻击模块)收集更多信息或进一步访问被利用的目标系统
- Encoders(编码模块)将攻击载荷进行编码,来绕过防护软件拦截
2.3 使用模块
(1)search搜索模块
search 关键字- 可以同时搜索多个关键字,空格间隔
(2)use选择模块
use 0
use exploit/windows/http/cayin_xpost_sql_rce- 参数可以是搜索的序号,也可以是直接name值,后者可以tab键补全
(3)options查看参数和状态
(4)set设置参数
set 参数名 参数值
set RHOSTS 192.168.0.15(5)exploit或run 运行模块
一般exploit居多,可以查看到测试过程