1.实验内容
本周学习内容:本周我学习的章节是Meatsploit渗透测试技术。在本章的学习中,首先,我了解了Metasploit,这是一款开源安全漏洞利用和测试工具,集成了各种平台上常见的溢出漏洞和流行的shellcode。其实在之前的免杀技术的那一章我们就使用过这个工具,当时就对这个工具的功能深深震撼到了。在课堂上老师讲了MST基本框架,讲了外部安全工具,插件,扩展脚本,基础库文件,模块等,讲了许多种模块以及他们的使用方法和功能,在之后的实验课以及实践课上啊,深刻的接触了这门技术,并成功实践渗透了几个漏洞,这章的学习让我印象深刻,让我真正感受到了这门课程在现实生活中的应用。
2.实验过程
本实践目标是掌握metasploit的用法。
指导书参考Rapid7官网的指导教程。
https://docs.rapid7.com/metasploit/metasploitable-2-exploitability-guide/
下载官方靶机Metasploitable2,完成下面实验内容。
我的靶机IP是192.168.35.145
(1)前期渗透
①主机发现(可用Aux中的arp_sweep,search一下就可以use)
②端口扫描:可以直接用nmap,也可以用Aux中的portscan/tcp等。
③选做:也可以扫系统版本、漏洞等。
(2)Vsftpd源码包后门漏洞(21端口)
漏洞原理:在特定版本的vsftpd服务器程序中,被人恶意植入代码,当用户名以“