【Web安全】kali渗透工具MSF以及msfconsole命令详解

原创 已于 2025-01-11 15:58:30 修改 · 1.3k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #安全 #学习 #开发语言 #php #python #java

于 2025-01-02 17:12:10 首次发布

首先我们可以通过在终端里面输入sudo su密码默认kali直接回车 让kali从普通用户变成root超级管理员用户避免权限不足

1.msfconsole介绍

msfconsole简称msf是一款常见的渗透测试工具,包含了常见的漏洞利用模块和生成各种木马,方便于安全人员的使用。

2.msfconsole使用

msfconsole:启动metasploit命令行

打开 msfconsole

第一步:进行端口扫描
1.查看端口扫描的模块
search portscan

2.使用端口扫描模块
use auxiliary/scanner/portscan/top

3.使用端口扫描模块(模块里面的yes都要填)
show options

4.设置目标ip
set rhosts
5.设置线程为100
set threads 100
6.执行
run或exploit

这样open就是开放的端口,如图135和139

7.退出到msf
back
第二步:进行服务的扫描
1.查看smb_version
search smb_version

2.使用服务模板
use auxiliary/scanner/smb/smb_version
3.查看模块信息
show options
4.设置目标ip进行扫描
set rhosts目标ip

5.设置线程为10
set threads 10
6.执行
run或exploit

可以看到服务器信息

7.退出
back

3、使用ms17_010(永恒之蓝)进行复现

以永恒之蓝为例子 可以先搜索微软给的编号ms17_010 在use其中的一项

配置模块必选项 show options

*require为yes就是必选项

exploit漏洞攻击脚本 payload攻击载荷

lhost为kali地址 lport为端口 lport可以更改

set lport 0~65535

最后输入run开始运行

成功得到shell

4.一些命令

show exploits – 查看所有可用的渗透攻击程序代码
show auxiliary – 查看所有可用的辅助攻击工具
[show ]options/advanced – 查看该模块可用选项
show payloads – 查看该模块适用的所有载荷代码
show targets – 查看该模块适用的攻击目标类型
search – 根据关键字搜索某模块
info – 显示某模块的详细信息
use – 使用某渗透攻击模块
back – 回退
set/unset – 设置/禁用模块中的某个参数
setg/unsetg – 设置/禁用适用于所有模块的全局参数

题外话

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

在这里插入图片描述

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

在这里插入图片描述

(都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
————————————————

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

Docker常用命令汇总(100条)
pengmeitao的博客
04-09 1万+
管理不同的Docker守护进程上下文。- 搜索一个Docker仓库中的镜像。- 显示Docker守护进程的事件。- 显示Docker守护进程的信息。- 启动Docker后台守护进程。- 从一个压缩文件中加载一个镜像。- 登录一个Docker镜像仓库。- 登录到一个Docker仓库。- 查看Docker的系统信息。- 查看Docker的版本信息。- 查看容器中正在运行的进程。- 从一个归档文件中加载镜像。- 将一个镜像打包为归档文件。- 列出所有正在运行的容器。- 导入一个tar包为镜像。
Nmap扫描实战命令汇总
啊渊的专栏
07-26 7868
Nmap实战详解
VMware虚拟机下载安装和使用
weixin_44646763的博客
03-30 6283
VMware虚拟机下载安装和使用(详细)
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 3870
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
路由器后面再接一个路由器怎么设置(二级路由)
weixin_34032792的博客
12-23 5121
路由器后面再接一个路由器怎么设置(二级路由) 总结: 这种设置方法二级路由是在同一个vlan里面的,也就是在同一个局域网里面。   我们在日常上网中有时会遇到这样的问题:A房间有一无线路由器,B房间到A房间有七八十米,我们要在B房间再用手机上无线网的时候信号可能就不好了,中间又有墙,哪么应该怎么办呢?呵呵,其实很简单在B屋加个无线路由用网线接到A就可以了,其实路由后再接路由...
记录一次体验kali渗透工具MSF以及msfconsole命令详解
ch_ycc的博客
04-22 7036
msfconsole简称msf是一款常见的渗透测试工具,包含了常见的漏洞利用模块和生成各种木马,方便于安全人员的使用。
MSFKali最强渗透工具之Metasploit
zou09241314的博客
10-23 1579
类似于msf有一个神奇的魔法,能让复杂的漏洞攻击的流程变得非常简单,一个电脑小白经过几小时的学习,就能对操作系统等主流漏洞发起危害性攻击。 永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。
渗透测试-MSF工具使用简介及命令使用漏洞利用过程
XLbb的博客
05-08 6405
1.MSF工具使用简介及命令使用(kali系统) 1.1什么是MSF: Metasploit就是一个漏洞框架,是一个免费、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数2000多个已知软件漏洞的专业级漏洞攻击工具。 步骤一:在kali系统中运行msf软件 :msfconsole; 如:测试编号为cve-2019-0708 的漏洞(windows7漏洞); 根据漏洞编号,用search查找相应的漏洞攻击工具。
网络安全kali渗透学习 web渗透入门 使用msf扫描靶机上mysql服务的空密码
xueshenlaila的博客
03-02 3409
我们启动一台Metasploitable2-Linux靶机网络模式为桥接IP:192.168.1.180
网络空间安全-Kali Msfconsole-FTP笑脸漏洞:)介绍、渗透测试、使用
彪哥.TOP的博客
05-22 1342
FTP笑脸漏洞,特别是与vsftpd 2.3.4版本相关的,是一个严重的安全漏洞,最初于2011年被公开发现。这个漏洞允许攻击者通过一个特殊的用户名和密码组合来获得未经授权的访问权限。具体来说,当连接带有vsftpd 2.3.4版本的服务器的21端口时,如果在用户名中输入带有“:)”的字符串(即笑脸表情的ASCII码表示),密码可以任意输入,即可触发该漏洞。
DIIRC重磅发布:2024大模型行业应用十大典范案例集
weixin_59191169的博客
06-13 1167
6月5日,由数字产业创新研究中心主办,锦囊专家、首席数字官承办,中国软件行业协会CIO分会、中关村天使投资联盟协办的“2024中国数字企业峰会–成果发布日”成功于线上举办。《2024大模型行业应用十大典范案例集》在百余位行业专家、业内同仁的云端见证下重磅发布。评委会专家针对典型性、实效性、创新性、复杂性和推广性5个维度,对候选案例进行评估,分别择优10个入选编入《2024大模型行业应用十大典范案例集》,本案例集汇集了文化、医药、IT、钢铁、航空、企业服务等行业在大模型应用领域的典范案例。
普通人成为黑客有多难?
小司机的奥拓
01-24 2120
零基础不知从何下手?想转行的求职者如何入门?想精深的从业者如何提升?:网络安全种类千千万,不知道自己适合哪一类!:没经验缺方法、面试通不过、应该从哪儿学起没头绪:野路子、没人教、没有完整的学习体系,始终得不到成长:想进入网络安全领域,没有合适路径,敲不开大门这都不是问题!重要的是你有这个毅力以及想学的心~不要自己把“黑客“臆想的很难,黑客也是人,他曾近也跟我们一样是个普通人!我不知道你是对黑客感兴趣,还是真的向往这个方向发展,先上学习路线!
AWVS最新版v24.5.14中文坡解版附详细下载安装教程
最新发布
logic1001的博客
09-13 8827
Acunetix 高级版 v24.4 提供了一套全面、高效且易于集成的 Web 应用程序安全测试解决方案,适用于日常发现 Web 应用程序的安全性。获取方式:后台回复【AWVS】获取下载链接。
2024大模型行业应用十大典范案例集(非常详细)零基础入门到精通,收藏这一篇就够了
Python_0011的博客
07-03 1723
报告正文《2024 DIIRC大模型行业应用十大典范案例集》为我们展示了十家行业先锋如何利用大模型技术,优化业务流程,提升服务体验,推动产业创新。这些案例不仅彰显了技术的力量,更指引了未来数字化转型的方向。
Windows 防火墙入站和出站
零一魔法
03-20 2964
出站是从本地计算机访问外部网络,例如浏览器发起请求访问网站 - 零一居入站是从外部网络访问本地计算机,例如使用localsend将文件从手机(外部网络)传送到本地计算机。
【Windows】VMware虚拟机安装Windows 10 教程
热门推荐
Cappuccino Blog
06-30 5万+
VMware虚拟机安装Windows 10 教程
红队IP归属爬取工具
Hacker_j1的博客
07-28 635
注意了,这里的纯真查询爬取会相对于IP138来说会很慢,但是都能爬取得到,工具界面 **显示(未响应)**是正常现象!可以在命令行处看到程序在正常运行,IP地址和输出的结果都在正常显示,只需要等待爬取结束,工具界面就会正常显示了,所以慢慢等就行。基于javafx开发,图形化界面操作更简单。1、一次不能批量爬取超过100个,否则会报错,被官网封禁,要一天后才能解封,所以谨慎大量、频繁、重复地批量爬取。3、IP318的爬取结果和上面的一样,就是速度会快很多,但是一定不能一次性扫太多,分开来爬,保证不被封禁。
kali渗透进入msf
10-31
Kali是一个被广泛应用于渗透测试和网络安全的Linux发行版。而Metasploit Framework(MSF)是一个开源的渗透测试框架,它提供了一系列功能强大的工具和资源,帮助渗透测试人员实施攻击并评估系统的安全性。 在Kali中,可以使用Metasploit Framework来进行渗透测试,以测试目标系统的安全性。下面是进入MSF的步骤: 1. 打开终端:首先,在Kali Linux中打开一个终端窗口。你可以使用快捷键Ctrl+Alt+T来打开终端,或者在菜单中找到终端应用。 2. 启动MSF控制台:在终端中输入msfconsole并按下回车键,这将启动Metasploit Framework控制台。 3. 更新MSF:在控制台中,输入命令msfupdate并按下回车键,这将确保你使用的是最新的Metasploit Framework版本。 4. 选择攻击模块:通过输入命令use来选择你想要使用的攻击模块。例如,如果你想要使用一个特定的漏洞攻击模块,可以输入use exploit/[exploit_name]命令。 5. 设置攻击选项:根据选定的攻击模块,通过输入set命令来设置攻击选项。这些选项可能包括目标IP地址、端口等。 6. 运行攻击:通过输入命令exploit来运行已设置好的攻击。控制台将显示攻击的进展情况,并提供相关的反馈信息。 需要注意的是,在进行渗透测试时,务必遵循法律和道德规范,并且只能在授权范围内对系统进行测试。任何未经授权的攻击行为都是非法的。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值