一、认识Metasploit
Metasploit是一个开源的渗透测试框架软件,也是一个逐步发展成熟的漏洞研究与代码开发平台,此外也将成为支撑整个渗透测试过程的安全技术集成开发与应用环境。
二、过程
- 情报搜集阶段
- 威胁建模阶段
- 漏洞分析阶段
- 后渗透攻击阶段
- 报告生成阶段
三、常用命令
- msfconsole
启动 - msf>back
跳出当前模块 - msf>show exploits
显示Metasploit框架中所有可用的渗透攻击模块 - msf>search
查找某个特定的渗透攻击、辅助或攻击载荷模块 - msf>show auxiliary
显示所有的辅助模块以及他们的用途 - msf>show options
显示该模块所需的参数 - msf>show payloads
将当前模块的攻击载荷显示出来,攻击载荷是针对特定平台的一段攻击代码,它将通过网络传送到攻击目标进行执行。 - msf>use
找到攻击模块或攻击载荷后,可以使用use命令加载模块。 - msf>show targets
列出受到漏洞影响目标系统的类型。 - msf>info
查看模块的具体信息,包括所有选项、目标主机和一些其他的信息。 - msf>set和unset
Metasploit模块中,所有参数只有两个状态,已设置(set)和未设置(unset)。 - msf>check
检测目标主机是否存在指定漏洞。但支持check命令的exploit不是很多。