Metasploit简介

1. Metasploit是一款开源的安全漏洞检测工具，可以帮助安全和IT专业人士识别安全性问题，验证漏洞的缓解措施，并管理专家驱动的安全
   性进行评估，提供真正的安全风险情报。这些功能包括智能开发、代码审计、Web应用程序扫描、社会工程等。

2. Metasploit框架（Metasploit Framework，MSF）是一个开源工具，旨在方便渗透测试，它是由Ruby程序语言编写的模板化框架，具有很
   好的扩展性，便于渗透测试人员开发、使用定制的工具模板。Metasploit已成为当前信息安全与渗透测试领域最流行的术语

3. Metasploit可向后端模块提供多种用来控制测试的接口，如控制台、Web、CLI。推荐使用控制台接口，通过控制台接口可以访问和使用所有Metasploit的插件，如Payload、利用模块、Post模块等。Metasploit还有第三方程序的接口，比如Nmap、SQLMap等，可以直接在控制台接口使用。

Metasploit基础

专业术语

MSF框架由多个模块组成，各个模块的功能如下，这也是Web渗透的基础术语

Auxiliaries：辅助模块

该模块不会直接在测试者和目标主机之间建立访问，它们只负责执行扫描、嗅探、指纹识别等相关功能以辅助渗透测试。

Exploit：漏洞利用模块

漏洞利用是指由渗透测试者利用一个系统、应用或服务中的安全漏洞进行的攻击行为。流行的渗透攻击技术包括：

1. 缓冲区溢出
2. Web应用程序攻击
3. 利用配置错误

其中包含攻击者或渗透人员针对系统中的漏洞而设计的各种POC验证程序，用于破坏系统安全性的攻击代码，每个漏洞都有相应的攻击
代码。

Payload：攻击载荷模块

攻击载荷是我们期望目标系统在被渗透攻击之后完成实际攻击功能的代码，成功渗透目标后，用于在目标系统上运行任意命令或者执行特
定代码，在Metasploit框架中可以自由地选择、传送和植入。攻击载荷也可能是简单地目标操作系统上执行一些命令，如添加用户账号
等。

Post：后期渗透模块

该模块主要用于取得目标系统远程控制权后，进行一系列的后渗透攻击动作，如获取敏感信息、实施跳板攻击等。

Encoders：编码工具模块

该模块在渗透测试中负责免杀，以防止被杀毒软件、防火墙、IDS及类似的安全软件检测出来