Metasploit渗透测试介绍

Metasploit渗透测试介绍

欢迎关注：https://edu.51cto.com/sd/e8338

1、什么是渗透测试？

有目的性，针对目标机构计算机系统的安全监测评估方法，主要目的在于模拟恶意人员对目标进行测试，从而发现对应的安全隐患，提高目标机构计算机系统的安全性。

2、渗透测试流程

前期交互->信息收集->威胁建模->漏洞分析->渗透攻击->后渗透攻击->报告阶段

前期交互：确定用户的渗透测试细节，比如渗透测试范围（具体到IP或某个系统），目标（证明漏洞存在，测试各种应急响应），规定（测试时间）

信息收集：踩点（footprinting）主动信息收集（与目标交互） 被动信息收集（互联网渠道获取 利用搜索引擎获取）

威胁建模：如何测试指定的网络、需要获得的重要信息是什么、攻击时采取什么方法最为合适、对目标来说最大的安全威胁是什么

漏洞分析：从一个系统或一个应用程序中发现漏洞的过程。

渗透攻击：渗透测试工程师利用针对目标系统的漏洞利用相应的入侵模块获得控制权限。

后渗透攻击：当成功渗透目标计算机以后的任务：提升权限、上传和下载文件、跳板。

报告阶段：渗透测试报告，确定目标威胁，以及目标的修复方案。

参考文档：http://www.pentest-standard.org/index.php/Main_Page

3、环境准备

在Kali linux默认集成了Metasploit，所以可以下载Kali linux直接搭建好Metasploit的环境。
虚拟机软件 vmware workstation安装  
下载地址：http://download3.vmware.com/software/wkst/file/VMware-workstation-full-15.0.0-10134415.exe

Kali linux 下载安装（寻找已经安装的虚拟机，拿来直接使用）
下载地址：
https://images.offensive-security.com/virtual-images/kali-linux-2019.1-vm-i386.7z.torrent (32bit)
https://images.offensive-security.com/virtual-images/kali-linux-2019.1-vm-amd64.7z.torrent(64bit)

4、Metasploit介绍

Metasploit是渗透框架，集成了渗透测试工程中所有阶段的工具，提供全面的漏洞渗透测试库。
1、源代码开放
2、对大型网络测试方便 支持CIDR

官方网址：https://www.metasploit.com/
版本区别：https://www.rapid7.com/products/metasploit/download/editions/

在Kali linux终端下使用 msfconsole