《Metasploit渗透测试魔鬼训练营》 之 工具整理

一、metasploit 辅助模块wmap

该模块可以对MT内置的各种WEB工具进行统一使用，可以查看敏感信息，旗标信息和cve漏洞。

db_connect -y /opt/framework/config/database.yml

load wmap                                    //加载

wmap_sites -a http://www.dvssc.com               //添加网站作为扫描目标

wmap_sites -l                                  //列出目标网站

wmap_targets -t 192.168.80.141   //将网站作为目标

wmap_run -t   //哪些模块会被用到

wmap_run -e                //开始探测

Vulns   //查看结果

二、第三方工具

三、W3AF(Web Application Attack and Audit Framework )

w3af WEB应用程序漏洞扫描器：/pentest/web/w3af/w3af_gui

就是一个WEB漏洞扫描和利用程序。

四、SQLmap

该工具可以对SQL注入漏洞进行扫描和利用

use auxiliary/scanner/http/sqlmap

/pentest/database/sqlmap/sqlmap.py

1、获取cookie

2、探测漏洞

 

3、获取数据库名字

 

4、获取数据库表名

 

5、获取列名

 

6、获取某一列的内容

五、wXf(web exploitation framework)

wXf是web应用漏洞扫描和攻击工具，模仿metasploit，命令基本相同。内有wordpress插件识别和漏洞扫描工具。

 

 

拜了个拜！