關於Metasploit這裏有四個簡單的問題,先供大家思考
01 metasploit是什麼?
02 我們能使用metasploit用來幹什麼?
03 metasploit的專業術語有哪些?
04 我們使用該Metasploit進行滲透的時候,大致的步驟是什麼?
那麼接下來,我就來簡單介紹一下相關內容。
01 metasploit是什麼?
metasploit框架,即msf,是一個用於滲透測試的開源工具,可以理解爲如果你是一名電工,要修理電器,而msf就相當於是你完備的工具箱。基本上你在維修過程中想到的,就會有工具讓你用。
02 我們能使用metasploit用來幹什麼?
我們可以通過使用msf的所有插件,如payload、exploit、post模塊等,直接對一個網站、主機進行滲透廁所,也可以通過命令行下輸入msfconsole使用nmap、sqlmap等第三方程序
03 metasploit的專業術語有哪些?
專業術語:
1)auxiliaries(輔助模塊)
該模塊不會在測試者和被測試者之間建立訪問連接,只負責指紋掃描、嗅探、執行掃描等相關功能用以輔助測試。
就相當於,入室搶劫之前,你會有一個觀察這個房屋構造的步驟,看看有沒有什麼窗口可以偷偷潛伏進去,看看這個房屋構造有哪些是可以藉機偷偷溜進去的
2)exploit(漏洞利用模塊)
漏洞利用是指由滲透測試者利用一個系統、應用或者服務中的安全漏洞進行的攻擊行爲。流行的滲透攻擊技術有:緩衝區溢出、web應用程序攻擊、以及利用配置錯誤,其中包括攻擊者針對系統中的漏洞而設計的各種poc驗證程序,破壞系統安全性的攻擊代碼。
就相當於,入室搶劫時,你發現了有個低矮的窗戶可以通過搭梯子的方式進入室內,於是你利用這個方式達到你入室搶劫的目標
3)payload(攻擊載荷模塊)
攻擊載荷是我們期望系統目標在被滲透之後實際完成實際攻擊的代碼,成功滲透目標後,用於在目標系統運行任意命令或執行特定代碼。也可以是簡單在目標操作系統上執行一些如添加用戶的命令。
就相當於,入室搶劫時,確定實施犯罪的具體人選。可以選擇人進去,因爲我們進去之後,可以到處搜值錢的東西,實施犯罪行爲。也可以是選擇投入一個機器人,這個機器人可以把收集的東西拋出來等等
4)post(後期滲透模塊)
該模塊主要用於在取得目標系統遠程控制權後,進行一系列的後滲透攻擊動作。如獲取敏感信息、實施跳板攻擊等。
就相當於,入室搶劫後,你作爲犯罪者進入到室內,可以乾的事情,比如先找到個逃跑路線(進程遷移)、到處翻看屋子裏有沒有銀行卡信息、身份證信息(獲取敏感信息)、磨個鑰匙方便下次再次光臨(後門)
5)encoders(編碼工具模塊)
該模塊在滲透測試中負責免殺,防備殺毒軟件等安全軟件檢測出來。
就相當於,入室盜竊時,你可以給自己套上黑絲襪,免得被監控設施拍到
04 我們使用該工具進行滲透的時候,大致的步驟是什麼?
滲透攻擊步驟:
①掃描目標主機,尋找可用漏洞
②選擇並配置一個漏洞利用模塊
③選擇並配置一個攻擊載荷模塊
④選擇一個編碼技術,用來繞過殺毒軟件的查殺
⑤滲透攻擊
如果想了解更多有關與Metasploit的使用方法,歡迎關注我,我致力於以通俗易懂的語言帶你一步步調教這個小玩意兒····```