metasploit為滲透測試人員提供了大量友好、容易使用的工具。metasploit最初有hd moore建立,後來被nexpose漏洞掃瞄器的radid7公司收購。在滲透測試過程中,可以手工完成的一些工作都可以通過metasploit來做。
metasploit需要經常地更新,已維護最新的攻擊庫。可以每週執行以下命令更新metasploit。
# msfupdate
metasploit可以將執行的結果匯入的資料庫中,預設使用postgresql資料庫。使用service postgresql start
啟動postgresql服務,然後通過命令su postgres -c psql
可以做一些配置。如果要更改預設的使用者名稱的密碼,可以使用以下語句:
alter user postgres with password 'mypassword';
這裡會將預設使用者postgres的密碼改為mypassword。使用\q退出控制台。
沒有返回alter role,並沒有存在postgres使用者,這是我們可以自己穿件乙個使用者,並建立我們需要的資料庫。
啟動metasploit控制端,終端下輸入msfconsole
,啟動後的介面如下:
在msf>提示符下輸入:
「`msf> db_connect msfuser:[email protected]/pentester
msf> db_status
通過輸入host命令,檢視連線資訊。第一次連線msf會自動建立一些表。
在執行hosts命令時,為了獲得輸出資訊,可以使用nmap進行快速掃瞄收集資料。在msfconsole啟動,並且和資料庫已經連線的情況下,我們可以在metasploit中直接進行nmap掃瞄。掃瞄到的結果會自動被新增到資料庫中,一邊以後檢索。
現在可以執行hosts命令,就可以看到目標系統已經新增到postgresql資料庫中了。還可以使用各種檢索的技巧獲得需要的資訊以節約時間,比如要查詢哪些系統開放了22埠,可以使用services -p 22
。
滲透測試學習筆記 初識滲透測試
黑客活動 hacking 道德黑客 ethical hacking 白帽黑客 white hat hacking poc proof of concept,概念證明。pt penetration testing或者pen testing,滲透測試。apt advanced package tool,...
滲透測試學習路線
滲透測試學習之前基礎 計算機網路 作業系統 對windows linux作業系統熟悉,對常用命令了解 資料庫 程式語言 web應用開發 前端後端 門級別的 web安全滲透剖析 高階級別的 帽 講web安全 絡攻防實戰研究 漏洞利 與提權 web入侵安全測試與對策 metasploit滲透測試魔鬼訓練...
學習筆記 網路安全滲透測試滲透測試流程
作為一次玩過安全滲透測試的執行者,首先要明確在整個滲透測試過程中需要進行的工作。當接收到客戶的滲透測試任務時,往往對於所要進行的目標知之甚少或者一無所知。而在滲透結束的時候,對目標的了解程度已經遠遠超過客戶。在此期間需要從事大量的研究工作,整個滲透過程可以分為以下七個階段 確定滲透測試所涉及的ip位...