引言
小白一枚,昨天去图书馆闲逛的时候突然发现一本《Metasploit 渗透测试指南》(下文称《指南》),翻了两页觉得酷酷哒!就借了回来准备研究。刚研究了两天,觉得得有个地方记录下来以便回顾,就记录在此。
简单来说就算是精简版的《指南》吧。
Metasploit 简介
引用wikipedia的话说:
Metasploit 项目是一个旨在提供安全漏洞信息计算机安全项目,可以协助安全工程师进行渗透测试(penetration testing)及入侵检测系统签名开发。
Metasploit 项目最为知名的子项目是开源的 Metasploit 框架,一套针对远程主机进行开发和执行“exploit代码”的工具。其他重要的子项目包括Opcode数据库、shellcode 档案、安全研究等内容。
Metasploit 项目知名的功能还包括反取证与规避工具,其中的某些工具已经内置在Metasploit Framework里面。
《指南》上说:
本书介绍 Metasploit——近年来最强大、最流行和最有发展前途的开源渗透测试平台软件,以及基于Metasploit进行网络渗透测试与安全漏洞研究分析的技术、流程和方法。
简而言之 Metasploit 就是帮助人们发现系统漏洞并且测试漏洞的工具。
为方便叙述,后文将 Metasploit Framework 简称为 msf 或 MSF
安装
为了更好的用户体验,强烈建议直接安装 Kali Linux,这是一个同样非常著名的用于数字取证和渗透测试的Linux发行版。
Kali Linux 的安装这里就不多说了,很多博客,论坛,贴吧里都有非常详细的介绍。如果这个系列结束了有时间多的话考虑写一个。
安装好 Kali Linux 之后,系统自带了MSF和其他一些非常有用的工具。比如用于 WiFi 破解的 aircrack-ng 工具包,用于扫描的 nmap,用于 SQL 注入的 sqlmap,用于 HTTP 抓包分析,渗透 WebApp 的 Burpsuite 等等。
自带工具参见下图:
安装 Kali Linux 后的桌面环境参见下图(可能有少许不同):
后文均在正确安装了 Kali Linux 1.1.0 为前提下进行。
准备工作
首先请配置好 Kali Linux 的软件源,并进行一次更新
检查 /etc/apt/sources.list 文件,如果没有下面这几行,请手动添加
deb http://http.kali.org/kali kali main non-free contrib
deb-src http://http.kali.org/kali kali main non-free contrib
deb http://security.kali.org/kali-security kali/updates main contrib non-free
打开终端,输入以下命令
apt-get update
apt-get upgrade
开启数据库和MSF服务
在终端中输入以下命令
root@kali:~# service postgresql start
[ ok ] Starting PostgreSQL 9.1 database server: main.
root@kali:~# service metasploit start
[ ok ] Starting Metasploit rpc server: prosvc.
[ ok ] Starting Metasploit web server: thin.
[ ok ] Starting Metasploit worker: worker.
root@kali:~#
如果运行没有产生错误,则MSF服务正常启动。
准备工作结束,下一篇介绍MSF的几个基础预备知识。
