管理凭据

证书审计是任何pentest的关键部分。它们使您能够识别弱密码、常用密码和最基本密码,以便您可以尝试使用它们来危害其他目标。

在凭据审核期间,您可以从目标中收集敏感数据并将其存储在您的项目中。从Pro控制台中,您可以添加,删除和导出凭据数据。以下部分将向您展示如何在项目中管理凭据数据。

可用凭据

要查看Creds命令的所有可用选项列表,请键入信誉帮助进入你的控制台。

凭证类型

Metasploit允许您将在笔测试期间收集的某些凭证添加到项目中。您可以添加以下凭据类型:

  • 用户——用户名。
  • NTLM哈希- Windows NTLM身份验证哈希。
  • 密码- 纯文本密码。
  • Postgres—Postgres数据库的MD5哈希值。
  • SSH密钥—收集的SSH密钥。它必须是一个文件路径。
  • 哈希-一个不可重放的哈希
  • JTR- Ripper Hash的John。https://www.openwall.com/john/
  • 领域-允许访问web应用程序某部分的用户名和密码的集合。

将凭据添加到项目中

要添加凭据,请使用以下模板输入命令:信誉< cred-type > <参数>

例如,使用用户添加NTLM哈希:ntlm:E2FC15074BF7751DD408E6B105741864:A1074A69B1BDE45403AB680504BBDD1

在没有用户的情况下添加一个NTLM哈希:Creds添加NTLM:E2FC15074BF7751DD408E6B105741864:A1074A69B1BDE45403AB680504BDD1A

其他证书的命令

  • 信誉- h- 查看所有凭据选项。包括过滤,删除和添加凭据的示例。
  • -返回项目中所有凭据的列表。
  • 信誉- p <过滤器>- 通过与此文本匹配的密码过滤。
  • 信誉-T ntlm.-返回所有与NTLM匹配的信用。