metasploitable2基于ubantu的渗透演练环境。Rapid7官方长时间未更新,导致跟不上当前的节奏。metasploitable3出世。
metasploitable2配合metasploit的模块进行使用,速度很快。
metasploitable3更加难被攻破,有些漏洞在metasploit中没有漏洞利用模块,需要测试人员自己挖掘。
一台metasploitable是不够用的,真实攻击中都会牵连到很多服务器和计算机,它可以扩展,将metasploitable3安装到多台终端内,建立相关节点。
以下部分是渗透例子之一:从用nmap发现靶机存在多少端口,然后利用kali自带的DAVtest检测是否存在上传漏洞,到生成payload,到打开msf,加载exploit/multi/handler模块,设置好本地的端口与地址
https://github.com/rapid7/metasploitable3/wiki/Vulnerabilities
微软IIS 6.0以上的windows server 2008 R2/2012/2012 R2以及windows 7/8/8.1系统都会受到这个漏洞影响
set TARGETURI /caidao.asp
其他参考资料
http://www.youtube.com/watch?v=jDqmEY_3zY&t=1625s&index=3&list=PL17Q7Iw6SshlCNN1pVIkFR4B4mXBqPRdD
www.youtube.com/watch?v=JoV1aSuy1XU&index=4&list=PL17Q7Iw6SshlCNN1pVIkFR4B4mXBqPRdD
www.youtube.com/watch?v=8z12kdEw2v8&list=PLPL17Q7Iw6SshlCNN1pVIkFR4B4mXBqPRdD&t=33393s&index=1
www.youtube.com/watch?v=8z12kdEw2v8&list=PLPL17Q7Iw6SshlCNN1pVIkFR4B4mXBqPRdD&index=1&spfreload=10