您好,登錄后才能下訂單哦!
Metasploit的基本命令是什么,很多新手對(duì)此不是很清楚,為了幫助大家解決這個(gè)難題,下面小編將為大家詳細(xì)講解,有這方面需求的人可以來(lái)學(xué)習(xí)下,希望你能有所收獲。
像我們上次提到的情況,我的msf數(shù)據(jù)庫(kù)莫名奇妙就。。。崩掉啦。。。
處理方式大家應(yīng)該還記得:
完美重置數(shù)據(jù)庫(kù)重啟msf~
解決完小問(wèn)題,繼續(xù)開(kāi)始今天的學(xué)習(xí)~
很榮幸,今天我們?cè)谫u(mài)了兩期關(guān)子后
終于開(kāi)始正式使用msf啦。
在msf中關(guān)于help功能,有三種方式,分別是 “?” 、“help”、“-h”。
關(guān)于調(diào)出幫助菜單的方式我們就不手把手了,
簡(jiǎn)單說(shuō)下(如kill命令):
? kill / kill -h /help kill
然而提到一點(diǎn)的是“?”方式是不是官方有意而為之。
無(wú)法調(diào)取tab自動(dòng)補(bǔ)充bug一直未修復(fù),
也就是說(shuō)這種方式你需要手動(dòng)打全命令。
另外msf平臺(tái)還具備一個(gè)極其方便的功能,
支持外部命令執(zhí)行,也就是系統(tǒng)命令。
你不需要為了查看某項(xiàng)系統(tǒng)信息去單獨(dú)打開(kāi)一個(gè)窗口了。
當(dāng)然系統(tǒng)命令的習(xí)慣也是保留的,如:tab。
我們簡(jiǎn)單看一下console菜單下的所謂~核心命令是如何核心的。
是不是看了一臉懵逼,這不就是系統(tǒng)命令嘛。
我們來(lái)挑幾個(gè)與眾不同的來(lái)感受下:
connect命令。這個(gè)一眼也能明白大約什么功能。
connect一下某著名公司?。?nèi)網(wǎng)某網(wǎng)站。
這個(gè)界面好像在哪見(jiàn)過(guò),是不是有點(diǎn)眼熟?
猜到了吧,是瑞士**netcat無(wú)疑啦。
說(shuō)下筆者的使用感受,msf反應(yīng)速度幾乎無(wú)延遲。
但這不能否認(rèn)100KB的NC便攜的事實(shí)。
各有優(yōu)點(diǎn),如果不是搞隱蔽的小動(dòng)作。
MSF在這里更推薦一些,要放棄NC了喵~
當(dāng)然啦,剛剛有講過(guò),msf是支持外部命令調(diào)用的,你在這里使用NC也是可以的。
接下來(lái)的命令是show!
show命令將會(huì)是你以后最常使用的功能之一,
它的作用是顯示當(dāng)前所有可利用資源,
這里吐槽一句,貌似之前的版本show是只顯示下一層級(jí)的資源目錄
然而筆者今天手殘點(diǎn)了下,效果確實(shí)show all。。。
幾千行腳本名稱就這么出來(lái)了,虛擬機(jī)差點(diǎn)崩掉!
大家正常使用的時(shí)候,show 模塊名稱就可以了。
而且模塊內(nèi)依然是可以繼續(xù)使用該命令的。
當(dāng)然啦,當(dāng)年面對(duì)上前腳本的時(shí)候,
自然而然就會(huì)想到搜索功能,
這就用到了我們另一個(gè)高頻基本命令;search 關(guān)鍵詞。
突然想到了最近在測(cè)的weblogicJava反序列話漏洞,
我們來(lái)嘗試搜索一下。emmm,結(jié)果不盡人意呢。
從這件事也可以看出,神話也不是完美的說(shuō)。
不過(guò)在此埋一個(gè)伏筆,我們也看到了msf并未提供java反序列化漏洞的poc。
我們就真的沒(méi)法使用msf去完成該漏洞嘛。
客觀的說(shuō),你只能說(shuō)msf官方或者是社區(qū)未提供poc。
不代表個(gè)人未提供對(duì)應(yīng)模塊。
有興趣的話可以自行谷歌msfJava反序列化,
看大佬如何自主開(kāi)發(fā)msf J**A反序列化模塊。
有機(jī)會(huì)的話我們會(huì)在后邊復(fù)現(xiàn)。
說(shuō)了這么多,請(qǐng)依然相信msf!
search的功能可以讓我們隨時(shí)在msf的海量腳本中拿到我們想要的。
另外細(xì)節(jié)方面,我們可以看到關(guān)于漏洞公開(kāi)時(shí)間以及腳本評(píng)級(jí),
這些都能讓我們更快的了解漏洞。
在我們找到我們想要的模塊之后呢?
當(dāng)然是使用了。這就引出了下一個(gè)高頻基礎(chǔ)命令:use。
這里我們以MySQL為例。
隨便找個(gè)登錄測(cè)試掃描模塊~
對(duì)于該模塊一無(wú)所知?沒(méi)關(guān)系,info命令用于查看當(dāng)前模塊信息。
basic options 中的內(nèi)容就是我們需要配置的內(nèi)容。
mmp,隨便舉個(gè)例子這么多配置項(xiàng),這不給萌新留下心理陰影嘛。
info界面太混亂?不知道配什么?show options
當(dāng)然,面對(duì)一個(gè)未知腳本,即使我們看到了所有配置項(xiàng),
我們也不知道哪些是需要我們?nèi)ヅ渲玫摹?/p>
我們也不知道應(yīng)該去使用什么命令,
那就用到了我們剛剛提高到show繼續(xù)~
其中show missing是顯示缺失的必填項(xiàng)。
大家可以看到show的所有用法,
并且可以輕松使用幫助我們了解我們需要配置說(shuō)明,
腳本缺失的配置內(nèi)容是什么,
這里在啰嗦一句:我們可以看到,這里的show命令其實(shí)跟我們?cè)诟夸浵旅顑?nèi)容是完全一致的,
然而效果卻不是完全相同的,當(dāng)然我這里沒(méi)有區(qū)別出來(lái)。
口述一個(gè)比方,如果你的所查詢漏洞是只在lunix平臺(tái)下的,
你這里show payloads一下,出來(lái)的只會(huì)是針對(duì)lunix平臺(tái)的payloads。
evasion用于混淆,advanced高級(jí)屬性,我們就不做展開(kāi)解釋了。
大家可能突然要問(wèn)一點(diǎn)了,
講了半天修改項(xiàng),又該如何修改呢?
使用set命令進(jìn)行賦值操作。
然后使用show options就可以查看到了。
最后,執(zhí)行腳本命令:run 即可。
那么,,本期超長(zhǎng)篇幅的課程也接近尾聲了。
我們來(lái)看看落了什么補(bǔ)充下。。。
首先是給具備腳本開(kāi)發(fā)能力的大佬介紹edit命令,
該命令感覺(jué)目測(cè)其實(shí)就是以vi命令打開(kāi)腳本文件。
給美美的parrot截個(gè)圖~嚶
操作習(xí)慣與vi完全一致。
然后提一個(gè)命令:check,只針對(duì)小部分腳本,只探測(cè)不利用。
簡(jiǎn)單提高,大家忽視這個(gè)也無(wú)所謂的,因?yàn)榇蟛糠帜_本不區(qū)分這兩者。
然后,,,color命令,顏色~
一張截圖說(shuō)清楚,就是是否開(kāi)啟目錄變色,
看個(gè)人習(xí)慣吧。
好啦,結(jié)束我們的任務(wù):back命令
退回到console(我們剛剛操作的主目錄)界面~
看完上述內(nèi)容是否對(duì)您有幫助呢?如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章,請(qǐng)關(guān)注億速云行業(yè)資訊頻道,感謝您對(duì)億速云的支持。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。