在文章《Immunity canvas安全检测工具简介》中,叶子对三个安全漏洞检测工具Metasploit、Immunity CANVAS、Core Impact中的Immunity CANVAS做了简单的安装使用介绍。现在叶子对Metasploit渗透工具的应用也做下说明。本文主要介绍Metasploit的GUI界面的简单使用以及命令行模式下的使用。
Metasploit是一款开源的安全漏洞检测工具。由于Metasploit是免费的工具,因此安全工作人员常用Metasploit工具来检测系统的安全性。
Metasploit Framework (MSF)是2003 年以开放源代码方式发布、可自由获取的开发框架,这个环境为渗透测试、shellcode 编写和漏洞研究提供了一个可靠的平台。它集成了各平台上常见的溢出漏洞和流行的shellcode,并且不断更新,最新版本的MSF 包含了180多种当前流行的操作系统和应用软件的exploit,以及100多 个shellcode。作为安全工具,它在安全检测中起到不容忽视的作用,并为漏洞自动化探测和及时检测系统漏洞提供有力的保障。
Metasploit的安装文件可以到官方网站进行下载,目前的版本是3.1。
http://metasploit.com/framework/
Metasploit 3的使用:(叶子使用windows系统上的Metasploit 3.0版本)
安装完Metasploit程序后,如下图1所示,程序中包含Metasploit的相关文档、常用的一些小工具(Netcat、Putty、VNCViewer、WinVI)、CMD Shell、Metasploit 3的主程序、NASM Shell、上线升级程序、RUBY Shell等内容。下面我们开始使用Metasploit进行相关的渗透工作。
 |
| 图1 |
1.安装完Metasploit程序,运行Metasploit 3,启动Web窗口界面,如下图2所示。界面中会出现Exploits、Auxiliaries、Payloads、Console、Sessions、About等图标栏。
 |
| 图2 |
2.点击Exploits图标,系统列出所有的Exploits。
 |
| 图3 |
3.针对目的主机的信息查找相关漏洞利用程序,比如查找Windows 2000系统的相关漏洞利用程序,如下图4所示:
 |
| 图4 |
1 2 3 4 下一页
安全中国首页 > 文章中心 > 渗透技术