WEB开发网
开发学院网络安全安全技术 使用 Metasploit 发现漏洞 阅读

使用 Metasploit 发现漏洞

 2009-10-11 00:00:00 来源:WEB开发网   
核心提示: 如果您这样想的话,这个工具就相当于真实世界中的进攻武器,使用 Metasploit 发现漏洞(4),这个工具可以免费下载和安装,附带了大量预先打包的攻击,您可以研发自己的漏洞攻击,漏洞攻击开发出来后,而这些攻击已经确认会攻击特定的平台和应用程序,这些攻击甚至提供它们自己的匹配工作负载

如果您这样想的话,这个工具就相当于真实世界中的进攻武器。这个工具可以免费下载和安装,附带了大量预先打包的攻击,而这些攻击已经确认会攻击特定的平台和应用程序。这些攻击甚至提供它们自己的匹配工作负载,以便攻击过程更加容易。每个预先配置好的攻击都已经设置好在攻击被执行时该如何做。

注意:即使 Metasploit 提供了几个预先配置的攻击,重要的是要知道,这个软件的初衷是作为一个攻击开发环境。您可以使用这个软件提供的工具来测试系统是否存在漏洞,以及向系统导入特定的工作负载后系统将如何反应。

运行一个攻击

首先,让我们看看运行 Metasploit 的过程。这个过程应该适用于大多数攻击和工作负载。在这个场景中,我将简要介绍如何从一个系统向另一个系统发起攻击。

注意:以下步骤已经进行过特殊处理,以防有人将它们用于不当用途。

您可以使用任何版本的 linux® 或其他操作系统从命令行或 shell 执行这些步骤。您必须了解针对您的环境的具体规定,但这个过程主要用于理解正在发生的事情。

要使用 Metasploit 运行一个攻击,执行以下步骤:

下载 WHAX 3.0 for Linux。

从命令行输入以下命令启动 Metasploit 控制台: # " ./msfconsole " 

选择一个针对目标系统的攻击,这涉及三个命令:

use:指定一个攻击。

show:在上下文中显示信息。

info:提供关于一个特定模块的细节。 <!--[if !supportLists]-->use 
<!--[if !supportLists]-->show 
<!--[if !supportLists]--><!--[endif]-->info 

运行攻击的命令的格式是:

“use <exploit name>” 

输入以下命令来启动攻击: use iis50_webdav_ntdll" 

配置攻击

选择攻击后,需要配置攻击的运行方式。具体来说,需要指定运行攻击所针对的目标 IP 地址和端口。set 命令用于指定配置选项,如果您包含 show advanced 命令,将显示可以配置的所有选项。

使用以下命令设置选项:

set RHOST <your test machine's IP address> 

然后按下 Enter 键,接下来在下面的行中输入以下代码:

set RPORT 80 

要检查攻击是否生效,输入:

check 

得到的结果取决于目标系统。

如果检查失败,您可能需要配置目标系统的其他选项 -- 例如,操作系统的细节。

然后输入:

show targets 

根据攻击的不同,您可能会看到关于攻击的其他信息,比如支持它的服务。

完美的攻击

将 Metasploit 工作负载 -- 也称为 shell 代码 -- 直接插入正在溢出的缓存中。在大多数情况下,工作负载是非常特定的,选择哪个工作负载取决于您的目标操作系统和架构。

结束语

本文介绍了如何使用 Metasploit 来提供对系统漏洞的概览。通过一些工作和研究,您可以研发自己的漏洞攻击。漏洞攻击开发出来后,您可以确定您的应用程序和系统是否能够经受缓存溢出等攻击和 SQL 注入等漏洞的威胁。

上一页  1 2 3 4 

Tags:使用 Metasploit 发现

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接