首页 » 安全攻防 » kali专区 » 正文

Kali Linux高级渗透测试魔鬼训练营第三课:渗透测试初步

部分文字内容:

    Metasploit是一个开源的渗透测试框架软件,也是一个逐步发展成熟的漏洞研究与渗透代码开发平台,此外也将成为支持整个渗透测试过程的安全技术集成开发与应用环境。
一.渗透测试框架软件
    Metasploit项目由著名黑客HD Moore于2003年开始开发,最早作为一个渗透攻击代码的集成软件包而发布。渗透攻击也是目前Metasploit最强大和最具吸引力的核心功能,Metasploit框架中集成了数百个针对主流操作系统平台上,不同网络服务与应用软件安全漏洞的渗透攻击模块,可以由用户在渗透攻击场景中根据漏洞扫描结果进行选择,并能够自由装配该平台上适用的具有指定功能的攻击载荷,然后通过自动化编码机制绕过攻击限制与检测措施,对目标系统实施远程攻击,获取系统的访问控制权。
    Metasploit的出现使得一些渗透测试的初学者也能够像在黑客电影中演的那样“优雅潇洒”地进行渗透攻击,告别了之前令人崩溃与望而却步的繁杂过程:
搜索公开渗透代码→编译→测试→修改代码→实施→失败→不断调试直至成功
    正因为如此,Metasploit在发布之后很快得到了安全社区的青睐,成为黑客们与安全职业人员必备的渗透测试工具之一。
除了渗透攻击之外,Metasploit在发展过程中逐渐增加对渗透测试全过程的支持,包括情报搜集、威胁建模、漏洞分析、后渗透攻击与报告生成。

二.漏洞研究与渗透代码开发平台
    当初,HD Moore的理想目标是,让Metasploit成为一个开放的漏洞研究与渗透代码开发的社区公共平台,而这一理想在Metasploit的发展过程中正在得以实现。
    当我们在Exploit-db、SecurityFocus等公共渗透代码发布平台上不断发现大量的以Metasploit渗透攻击模块的格式进行编写,能够直接集成到Metasploit框架中进行灵活应用的代码发布时,我们知道已经进入了“Metasploit时代”了!

三.安全技术集成开发与应用环境
    Metasploit的目标还不仅限于提供一个渗透测试全过程支持框架软件,也不限于作为安全社区的一个开放式漏洞研究与渗透代码开发平台,而是作为一个安全技术的集成开发与应用环境。
    你能想象实现这一目标之后Metasploit所具有的能量,以及它在安全社区中的地位吗?那时,Metasploit将成为安全社区中最具影响力的开源框架平台和创新策源地,大量的新技术从这里产出,快速转换成可实际应用与实施的工具,并能够与Metasploit平台上的其他工具相互配合,从而聚集出强大的能量光束,穿透渗透测试过程中的所有目标系统,以及进行安全测试的所有软硬件产品。那时HD Moore和Metasploit核心开发人员则会成为神一级的人物,接受着大家的顶礼膜拜。而这并不是虚无缥缈的幻想,Metasploit正在稳健地迈向这一目标。

视频在此,天下我有。

发表评论