So scannen Sie nach Sicherheitslücken mit Metasploit
Als ethischer Hacker verwenden Sie die „Kali -Verteilung“, die die Community -Ausgabe von Metasploit und zusätzliche ethische Hacking -Tools enthält. Wenn Sie Metasploit jedoch nur als eindeutiges Werkzeug installieren möchten, können Sie dies einfach unter Linux-, Windows- oder Mac OS X -Plattformen tun. Wir verwenden Kali Linux in unserem Tutorial.
Zugriff auf MSFConsole
MSFConsole ist eine Befehlszeilenschnittstelle zum Arbeiten und Zugriff auf das Metasploit-Framework. Das MSFConsole ist möglicherweise die am häufigsten verwendete Metasploit -Framework -Benutzeroberfläche. Ziele scannen, Schwachstellen ausnutzen und Daten sammeln. Sie können durch die Ausführung des folgenden angegebenen Befehls auf MSFConsole zugreifen.
> MSFConsole
Jetzt werden wir den MSFcrawler mit dem folgenden befohlenen Befehl laden.
> Verwenden Sie Auxiliary/Scanner/HTTP/Crawler
Für den oben aufgeführten Befehl gibt es keinen spezifischen Ausgangspunkt. Jetzt müssen Sie nach Rhost suchen, das eine URL- oder IP -Adresse ist, wie Lokalhost und Rport. Dies ist eine Portnummer, an der Sie teilnehmen müssen. In unserem Fall haben wir die Portnummer 9000 verwendet.
> Rhost Localhost einstellen
> Rport 9000 einstellen
Die Ausgabe zeigt das klare Bild, dass sowohl Rhost als auch die Portnummer entsprechend angepasst wurden. Jetzt kommt es, dass wir den entsprechenden Crawler laufen müssen. Verwenden Sie die folgende Anweisung für diesen Zweck.
> rennen
Nachdem Sie mit dem Krabbeln fertiggestellt wurden, wird der Befehl last wMAP das Laden des WMAP -Moduls unkompliziert, wie im angegebenen Screenshot gezeigt.
> Laden Sie WMAP
Jetzt müssen Sie das Flag verwenden, dem die Site -Adresse mithilfe von WMAP -Sites vorangegangen ist, um eine Site hinzuzufügen.
> WMAP_SITS -a localhost: 9000
Mit dem Parameter -l auf WMAP -Sites können wir nun die zugänglichen Websites auflisten. Um den angehängten Befehl unten auszuführen, um Ihre Arbeit zu erledigen:
> WMAP_SITS -L
Jetzt müssen wir diese Website in unsere Ziele aufnehmen, indem wir den folgenden Befehl angehängt haben.
> wmap_target -d 0
"0" spiegelt die ID der beigefügten Stelle wider, die in der obigen Anweisung erwähnt wurde. Als nächstes werden wir WMAP -Ziele verwenden, um die genaue Ziel -URL anzugeben, die wir scannen möchten. Um die definierten Ziele anzuzeigen, führen Sie WMAP -Ziele mit dem -L -Argument aus.
> WMAP_Target -l
Lassen Sie uns den WMAP -Lauf mit dem -e -Flag ausführen, der alle Module und nicht nur eines ausführen wird. Das Scannen kann je nach Zielort und Anzahl der aktivierten Module lange dauern, bis die Ziele abgeschlossen ist. Der Scan zeigt an, wie lange es dauern würde, bis er fertig ist. Um den unten angegebenen Anweisungen im Terminal auszuführen.
> WMAP_RUN -E
Es gibt Komponenten für Verzeichnisentests, Abfragetests, Webanwendungen und SSL -Tests. Da unser Ziel jedoch SSL nicht verwendet, sind diese Module deaktiviert. Nach Abschluss des Scannens können wir die Schwachstellen anzeigen, die mit Hilfe des aufgeführten Befehls identifiziert wurden.
> Vulns
WMAP liefert möglicherweise nicht als umfangreiche Daten wie andere Webanfälligkeitsscanner von Webanfälligkeiten, aber diese Erkenntnis ist möglicherweise ein wertvoller Ausgangspunkt, um verschiedene Angriffslinien zu erforschen. Dieser Scanner kann schnell geladen und aus dem Metasploit -Framework verwendet werden, was es zu einem praktischen Werkzeug macht, um zu lernen, wie man verwendet wird.
Abschluss
Das Metasploit -Framework ist eine Sammlung von Tools zum Testen von Sicherheitsanfälligkeiten, zum Aufzählen von Netzwerken, zur Ausführung von Angriffen und zur Vermeidung der Erkennung. Wir haben gelernt, wie man die WMAP -Plugins verwendet, um eine Webanwendung für Schwachstellen zu analysieren. Ich hoffe jetzt erhalten Sie viel Wissen über das Scannen von Schwachstellen mit dem Metasploit -Framework in Kali Linux.