本文介绍了Metasploit,它是渗透测试集成框架,内含众多攻击模块,是渗透测试人员必备工具。还进行了利用MSF的漏洞利用和内网渗透演示,涉及cve - 2017 - 7269和ms17 - 010两个漏洞,并展示了操作步骤,下期将更新渗透测试常见提权方式。
Metasploit 介绍与基本用法
Metasploit 介绍
Metasploit 是一个渗透测试集成框架,简称MSF。MSF内含许多攻击模块,涵盖了包括从操作系统到web应用的漏洞利用、后渗透模块、扫描模块等等。通常来说,MSF是渗透测试人员必备的一个工具,掌握并用好MSF是渗透测试人员的必须的技能。
课程演练包括:
Metasploit 演示
本次演示将利用MSF进行漏洞利用和内网渗透的一个过程,利用了两个漏洞,分别是cve-2017-7269和ms17-010。
Windows Server 2003R2版本IIS6.0的WebDAV服务中的ScStoragePathFromUrl函数存在缓存区溢出漏洞,远程攻击者通过以“If: <http://”开头的长header PROPFIND请求,执行任意代码。
搜索 paload:
使用攻击模块:
查看需要配置的参数:
设置ip地址:
设置反弹shell的payload:
设置本攻击机ip地址:
进入会话:
自动添加路由:
设置目标ip,端口:
设置payload:
exploit攻击利用:
品略图书馆 http://www.pinlue.com/ http://m.pinlue.com/
下期更新笔记内容:
渗透测试:常见的提权方式
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
