渗透测试：Metasploit 的基本用法。

Metasploit 介绍与基本用法

        

Metasploit 介绍

 

 

Metasploit 是一个渗透测试集成框架，简称MSF。MSF内含许多攻击模块，涵盖了包括从操作系统到web应用的漏洞利用、后渗透模块、扫描模块等等。通常来说，MSF是渗透测试人员必备的一个工具，掌握并用好MSF是渗透测试人员的必须的技能。

 

课程演练包括：

     

 

Metasploit 演示

        

 

本次演示将利用MSF进行漏洞利用和内网渗透的一个过程，利用了两个漏洞，分别是cve-2017-7269和ms17-010。

 

Windows Server 2003R2版本IIS6.0的WebDAV服务中的ScStoragePathFromUrl函数存在缓存区溢出漏洞，远程攻击者通过以“If:

 

搜索 paload：

 

 

使用攻击模块：

 

 

     

 

 

查看需要配置的参数：

 

 

 

设置ip地址：

 

 

       

 

设置反弹shell的payload：

 

 

 

 

设置本攻击机ip地址：

 

 

       

 

进入会话：

 

 

       

 

自动添加路由：   

     

       

 

设置目标ip，端口：

 

 

       

 

设置payload：

 

 

 

       

 

exploit攻击利用：

 

 

 

品略图书馆 http://www.pinlue.com/ http://m.pinlue.com/

下期更新笔记内容：

渗透测试：常见的提权方式