Metasploit Web渗透技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Metasploit Web渗透技术
1.辅助模块
a)Wmap扫描器初始化
指令:
Msfconsole
Load wmap
Help
b)开始扫描
Wmap_sites –a http://10.10.10.129
Wmap_sites –l
Wmap_targets –t http://10.10.10.129
Wmap_run –t
c)查看扫描结果
Wmap_run –e
……
Vulns
Refs数据列表为找到的漏洞编号集合。可以查看资料进一步了解利用。
2.应用漏洞扫描
a)扫描神器W3AF
在/pentest/Web/W3af/下运行./w3af_console
Help
b)命令行基本配置
添加用户名和密码暴力破解字典
对SQL注入和XSS漏洞做扫描
配置webSpider插件
c)进行一次扫描
Start
Vim aa.html
Firefox aa.html
3.SQL注入漏洞探测
a)Firefox打开/dvwa/login.php
UserName输入admin’
输入admin’ or ‘ 1=1
b)使用Sqlmap
c)启动BT5 进入/pentest/database/sqlmap
用Firefox的TamperData插件
BT5中执行
4.XSS漏洞探测
a)Msfconsole
b)
5.指令注入分析
6.文件包含和上载漏洞