好久不写博客了,也是慢慢的明确了自己想要学习渗透测试的方向,开始不断的接触新姿势和新思想。今天主要想用永恒之蓝这个漏洞来对Metaspl oit的使用熟练程度、分析流程以及Meterpreter后渗透的一些手法进行小结和复习。
第三部分。首先要明确这些都属于前期的被动信息收集,并没有与目标发生直接的网络接触。下面介绍常用的搜索引擎使用方法
第二部分
第一部分
客户端攻击(Client-side-Exploit)值攻击者构造畸形数据发送给目标主机,用户在使用该含有漏洞的客户端应用程序处理这些数据时,发生程序内部处理流程的错误,执行了内嵌与数据中的恶意代码,从而导致了渗透入侵。常见于浏览器、Office为代表的流行应用软件。
MS08-067攻击原理和MSF利用过程
OWASP Top 10 - 2017
- Injection(注入)
- Broken Authentication(认证管理缺陷)
- Sensitive Data Exposure(敏感数据暴露)
- XML External Entities (XXE)
- Broken Access Control(失效的访问控制)
- Security Misconfiguration(安全配置错误)
- Cross-Site Scripting (XSS)
- Insecure Deserialization(不安全的反序列化)
- Using Components with Known Vulnerabilities(使用具有已知漏洞的组件)
- Insufficient Logging&Monitoring(记录和监控不足)
