（一）Metasploit工具使用

一，Metasploit介绍与漏洞利用

Metasploit就是一个漏洞利用框架。全称叫做The Metasploit Framework，简称叫做MSF。Metasploit作为全球最受欢迎的工具，不仅仅是因为它的方便性和强大性，更重要的是它的框架。它允许使用者开发自己的漏洞脚本，从而进行测试。被安全社区冠以“可以黑掉整个宇宙”之名的强大渗透测试框架。



二，专业术语
渗透攻击（Exploit）:指由攻击者或渗透测试者利用一个系统、应用或服务中的安全漏洞，所进行的攻击行为。
攻击载荷（Payload）:是我们期望目标系统在被渗透攻击之后去执行的代码。
Shellcode，是在渗透攻击是作为攻击载荷运行的一组机器指令，通常用汇编语言编写。
模块（Module）:指Metasploit框架中所使用的一段软件代码组件，可用于发起渗透攻击或执行某些辅助攻击动作。
监听器（Listener）:是Metasploit中用来等待网络连接的组件(生成木马之后发给受害主机，监听反弹木马连入本机)。

三，启动Metasploit

打开kali linux ，控制台输入命令，msfconsole    常用控制台方式

四，重要模块介绍:
exploits 攻击模块 实施精准打击
        auxiliary 漏洞辅助模块，多用于扫描,嗅探,指纹识别等功能
post        后渗透模块/权限维持/保留后门。。。
        payloads 漏洞载荷模块，通常作用是为渗透测试者打开在目标系统上的控制会话连接
        encoders 编码器模块，对payloads进行编码
        evasion 创建反杀毒软件的木马



五，Metasploit的常用命令：

show exploits 显示可用的渗透攻击模块。
search 用来搜寻一些渗透攻击模块，可以进行模糊匹配。
use 使用某个渗透攻击模块，可以通过use命令来使用show 或 search出来的渗透模块。
show payloads 显示当前模块可用的攻击载荷
show options 显示参数当选择渗透模块后，使用show options 会显示该模块所需设置的参数。
set 命令是用来设置某些选项的，比如使用set 命令设置，攻击模块的options参数；设置攻击载荷payloads时，也是用set命令。
exploit/run命令，设置完所有参数时，使用exploit命令，开始进行攻击。
exit 退出metasploit。


六，使用Metasploit的具体思路：

搜索攻击模块；使用命令：search + 漏洞信息或编号
使用某个模块；使用命令：use
查看配置选项；使用命令：show options
设置选项值；使用命令：set
开始攻击；使用命令：run/exploit