无崖子资源网
做有态度的分享学习平台!

Metasploit魔鬼训练营渗透测试(攻防演示环境)

目录

环境搭建
攻击场景
    寻找外部入口突破
    内网渗透代理隧道
    内部横向渗透攻击
总结   

环境搭建

参照《Metasploit渗透测试魔鬼训练营》第二章进行环境搭建。搭建后测试环境为:
  kali:  10.10.10.128
  owasp ubuntu: 10.10.10.129
  win2k3: 10.10.10.130
  metasploit ubuntu: 10.10.10.254/192.168.10.254
  xp: 192.168.10.128
  win7: 192.168.10.129
  说明:
        1. 添加win7主机,配置静态ip为192.168.10.129
        2. 默认搭建好环境后各个主机是可互相通信,需要在网关服务器配置防火墙策略使DMZ区两台服务器无法与两台内网主机进行通信,命令如下:
        iptables -I INPUT -s 10.10.10.1/24 -d 192.168.10.1/24 -j DROP
        3. 假设此网络拓扑中只有web服务器对外开放,其他四台内网主机外部都不可访问
        4. owasp网页稍作修改,可忽略

Mesploit渗透环境示意图.jpg

攻击场景

寻找入口突破

渗透测试的第一步是进行信息收集,对域名,ip信息,whois查询,端口服务,web程序,中间件,操作系统等信息进行收集整理,对dvssc进行简单的信息收集:
      域名 www.dvssc.com 
      ip:10.10.10.129
      操作系统:  Linux 2.6.17 - 2.6.36

获取webshell

 通过查看页面可以发现后台登录入口,(在正常渗透测试环境中,可能是通过爬虫,目录字典爆破,google hack, 查找编辑器等方式找到后台)通过burpsuit抓包,在后台找到上传点,通过爆破得到后台账号密码:admin admin 
 上传大马连接:

Metasploit渗透测试魔鬼训练营

下载地址网盘:https://pan.baidu.com/s/1kV2ZDo7#

训练营环境镜像

下载地址网盘:https://pan.baidu.com/s/1mz3R2juKFCKa8ZdSoqe2wA# 解压密码:metasploit

赞(1) 打赏
未经允许不得转载:无崖子资源网 » Metasploit魔鬼训练营渗透测试(攻防演示环境)

评论 抢沙发

签到
  • Q Q
  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

「点点赞赏,手留余香」

支付宝扫一扫打赏

微信扫一扫打赏