1.2 漏洞利用框架metaspoit基本实用

Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。这些功能包括智能开发,代码审计,Web应用程序扫描,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。

接下来就用kail-linux虚拟机来进行一下演示。

首先我们打开命令行,并且配置好自己的ip:vim /etc/network/interfaces,,如图配置就好!

 

 

 

 接下来我们开启网卡:ifup eth0

接下来我们来可以先来更新apt源:vim /etc/apt/sources.list

 

 如果没有安装的话我们可以来进行安装:apt-get install 软件名字(centos用的是命令yum,不同)

我们直接打开:msfconsole(https://www.cnblogs.com/arsense/p/6243263.html

 Msfconsole提供了一个一体化的集中控制台。通过msfconsole,你可以访问和使用所有的metasploit的插件,payload,利用模块,post模块等等。Msfconsole还有第三方程序的接口,比如nmap,sqlmap等,可以直接在msfconsole里面使用。 在启动MSF终端之后,可以首先输入help命令列出MSF终端所支持的命令列表,包括核心命令集和后端数据库命令集。对于其中的大部分命令,你可以输入help[COMMAND],进一步查看该命令的使用帮助信息。

作用:

  • 是访问Metasploit中大部分功能的唯一支持方式。
  • 为框架提供基于控制台的界面
  • 包含最多功能并且是最稳定的MSF界面
  • 完整的readline支持,Tab键和命令完成
  • 可以在msfconsole中执行外部命令:

 

 

我们可以输入msfupdate对漏洞库进行更新:我们看到现在是5.0.64版本的

紧接着输入search ms17-010查看ms17-010的payload,下图0-1为扫描模块,2-5为漏洞模块,0-2模块可以扫描靶机是否可以被漏洞利用

 

 

 输入use auxiliary/scanner/smb/smb_ms17_010来使用,

show options可以来查看怎么用:

 

 输入info可以查看说明:

 

 输入set rhosts 网址或者网段,使用exploit或者run来进行扫描,显示绿色加号的说明存在漏洞。

 

 接下来我们再用一下攻击的:

search ms17-010回到初始页面查看一下:接下来我们使用下面这个

 

 设置靶机和攻击机:靶机ip :set rhosts 192.168.24.140   设置攻击ip:set lhost 192.168.24.138  注意:两台机子必须可以ping通

 

 windows2003很不可靠,顶不住攻击蓝屏了,我们可以换windows2008,抗揍!

 

 成功之后我们就可以进入到靶机根目录下,不多说!

推荐一个漏洞库:当有新的漏洞出来后,我们可以及时更新我们的kail,便于练习:www.exploit-db.com

 

posted @ 2020-04-13 14:58  心态要好(✪▽✪)  阅读(309)  评论(0编辑  收藏  举报