开始

Metasploit是一个渗透测试平台,允许您查找、利用和验证漏洞。该平台包括Metasploit Pro和Metasploit Framework。要立即开始使用Metasploit Pro,请参阅我们的安装指南

Metasploit职业

Metasploit Pro是为喜欢使用web界面进行笔测试的用户设计的。在Pro中可用的一些功能在Metasploit框架中不可用。

专业功能不在Metasploit框架

  • 任务链
  • 社会工程
  • 漏洞验证
  • GUI
  • 快速启动向导
  • Nexpose集成

如果你是一个命令行用户,但仍然想访问商业功能,Metasploit Pro包括它自己的控制台,非常像msfconsole,除了它让你访问Metasploit Pro的大部分功能通过命令行

Metasploit专业功能

Metasploit Pro提供笔测试功能,帮助您模拟真实世界的攻击,收集数据,并纠正发现的漏洞。

渗透

  • 手动开发
  • 反病毒逃避
  • IPS / IDS逃税
  • 代理主
  • Post-Exploration模块
  • 会话清理
  • 凭证重用
  • 社会工程
  • 负载生成器
  • 快速笔测试
  • VPN旋转
  • 漏洞验证
  • 网络钓鱼向导
  • Web应用程序测试
  • 持久会话

收集数据

  • 导入和扫描数据
  • 发现扫描
  • MetaModules
  • Nexpose扫描集成

纠正

  • Bruteforce
  • 任务链
  • 开发工作流程
  • 会议重新运行
  • 任务重放
  • 项目声纳集成
  • 会话管理
  • 凭证管理
  • 团队协作
  • Web界面
  • 备份和恢复
  • 数据导出
  • 证据收集
  • 报告
  • 标签数据

要了解更多关于Pro和Framework的区别,请参阅,Metasploit钢笔测试工具。

接口

Metasploit Pro带有一个web界面和一个命令行界面。在web界面中可用的大多数功能在命令行中也可用。

Web界面

您可以使用Metasploit Pro使用一个web界面。要启动web界面,请打开web浏览器,然后进入https://localhost:3790.要了解更多关于web界面的信息,请参见使用Metasploit Web界面。

箴控制台

箴控制台允许您从命令行与Metasploit Pro进行交互。它类似于Metasploit框架控制台。

Metasploit框架

Metasploit框架是构建商业产品的基础。这是一个开源项目提供执行渗透测试和广泛安全审计的基础结构、内容和工具。

网上有很多资源可以帮助你学习如何使用Metasploit框架;但是,我们强烈建议您看一下Metasploit框架维基,它由Rapid7维护,以确保您拥有最新的可用信息。

Metasploit架构

Metasploit框架是一个开放源代码的笔测试和开发平台,它为您提供了访问各种应用程序、操作系统和平台的最新exploit代码的权限。您可以利用Metasploit框架的强大功能来创建额外的自定义安全工具,或者为新的漏洞编写自己的攻击代码。

模块

模块是扩展Metasploit框架功能的独立代码或软件。模块自动化Metasploit框架提供的功能,并使您能够使用Metasploit Pro执行任务。

一个模块可以是:

  • 利用
  • 辅助
  • 有效载荷
  • 无操作载荷(NOP)
  • Post-exploitation模块
  • 编码器

例如,漏洞利用有效负载交付代码在另一台机器上运行。有效负载将打开一个shell或Meterpreter会话来运行一个开发后模块。编码器将确保有效载荷被交付,没有操作有效载荷将确保有效载荷大小保持一致。

服务

Metasploit Pro运行以下服务:

  • PostgreSQL—运行Metasploit Pro用于存储项目数据的数据库。
  • Ruby on Rails—运行web Metasploit Pro web界面。
  • 专业服务-也被称为Metasploit服务,引导Rails、Metasploit框架和Metasploit RPC服务器。