超级会员免费看
网络安全漏洞利用与 Metasploit 框架使用指南
在网络安全领域,漏洞利用和扫描是重要的工作内容。本文将介绍一种特定的拒绝服务攻击示例,以及强大的 Metasploit 框架的使用方法。
1. 拒绝服务攻击示例
有一种利用 HTML 片段导致浏览器崩溃的拒绝服务攻击。相关代码会将 HTML 发送到浏览器,使浏览器崩溃。该攻击文件位于 exploits/ios/dos/18931.rb 。以下是一个 Safari 漏洞的概念验证代码:
# Magic packet
body = "\
<html>\n\
<head><title>Crash PoC</title></head>\n\
<script type=\"text/javascript\">\n\
var s = \"poc\";\n\
s.match(\"#{chr*buffer_len}\");\n\
</script>\n\
</html>";
不过,此片段未解释该攻击的工作原理。若要获取更多细节,可查找与该漏洞相关的公告,多数公开的漏洞会在 MITRE 运营的 CVE 项目中编目。若源代码中记录了 CVE 编号,可从中读取详细信息,CVE 公告可能还会提供供应商公告的链接。
若其他地方没有可用的漏洞利用程序,可编译或运行 Kali 中预装的程序。如果是 C 程序,需先进行编译;所有脚本语言程序可直接运行。
订阅专栏 解锁全文
扫一扫
1905
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
