您所在的位置:下载吧 > 软件下载 > 安全软件 > 系统安全 > Metasploit(渗透测试软件)下载

Metasploit(渗透测试软件) v3.7.0 官方版

  • 软件大小:145.0 MB
  • 软件语言:英文
  • 更新时间:2020-10-26
  • 授   权:免费软件
  • 适用平台:WinAll
  • 推荐度: 6
  • 开发商:未知
无病毒官方版
点击查看大图
软件介绍

  Metasploit是一款强大的安全防护测试软件,该软件内置多种扫描工具,能够帮助用户轻松识别系统中潜在或者是现有的安全问题,帮助用户验证漏洞并提供缓解的措施和安全评估;它能够与诸如Nexpose等软件兼容,并且还具有检测过滤器以消除系统检测时的误报;Metasploit简化了针对特定漏洞的网络发现和漏洞验证流程,有效提高了Nexpose等漏洞扫描程序的效率,这有助于用户确定补救的优先级和消除误报的规则,从而提供真正的安全风险情报检测,通过这款软件,专业的IT人员将可以轻松证明漏洞对IT运营的影响,以获得补救措施。

Metasploit(渗透测试软件)

软件功能

  端口扫描

  发现扫描使用默认的Nmap设置,但是您可以添加自定义Nmap选项以自定义Nmap扫描。

  操作系统和版本检测

  发现扫描识别出打开的端口后,开始第三阶段,并据系统对探测的响应方式来检测服务版本号和操作系统。

  资料汇入

  使用服务信息发送针对发现的服务的其他模块,并探测目标以获取更多数据。

  执行初始端口扫描

  如果您使用的是漏洞扫描程序,则可以将漏洞报告导入Metasploit项目以进行验证。

  自定义TCP端口范围

  如果设置自定义TCP端口范围,则发现扫描将忽略所有默认端口,而改用您定义的范围。

  指定IPv6地址

  对于具有IPv6地址的主机,您必须知道目标设备正在使用的各个IP地址,并将这些地址指定给Metasploit Pro。

软件特色

  1、让用户可以通过易于使用的界面进行渗透测试。

  2、向用户展示真正的风险管理和IT运营。

  3、消除来自第三方漏洞扫描程序的误报。

  4、升级到Metasploit Pro以获取高级企业功能。

  5、用户可以根据需要创建任意数量的项目。

  6、可以选择为项目定义的网络范围自动填充默认目标范围。

  7、可以导入XML或ZIP文件,以将项目数据带回Metasploit。

  8、可以限制网络范围以强制项目上的网络边界。

使用方法

  创建一个项目项目包含工作空间,存储数据,并使您能够将项目分成逻辑组。通常,您对组织中的各个子网有不同的要求。因此,拥有多个代表这些要求的项目可能是有效的。

  例如,您可能要为人力资源部门创建一个项目,为IT部门创建另一个项目。您对这些部门的要求可能相差很大,因此将目标分为不同的项目对您来说是合乎逻辑的。参与结束时,您可以为每个部门生成单独的报告,以进行比较分析并将发现的结果提交给组织。

  创建一个项目很容易。您可以单击“项目”页面上的“新建项目”按钮,也可以从全局工具栏中选择“项目”>“新建项目”。

Metasploit(渗透测试软件)

  当出现“新项目”页面时,您只需要提供一个项目名称。如果要自定义项目,还可以添加描述,指定网络范围并分配用户访问级别。

Metasploit(渗透测试软件)

  想更多地了解项目?查看此页面。

  获取目标数据接下来要做的是将数据添加到项目中。有两种方法可以执行此操作:

  运行发现扫描

  导入您已经拥有的数据

  扫描目标扫描是对主机进行指纹识别并枚举开放端口以了解网络中运行的服务的过程。通过扫描,您可以识别活动的系统以及可以与之通信的服务,从而可以制定有效的攻击计划。Metasploit拥有自己的内置发现扫描程序,该扫描程序使用Nmap执行基本的TCP端口扫描并收集有关目标主机的其他信息。

  默认情况下,发现扫描包括UDP扫描,它将UDP探测发送到最常见的UDP端口,例如NETBIOS,DHCP,DNS和SNMP。扫描测试大约250个端口,这些端口通常为外部服务公开,并且在渗透测试期间通常进行测试。

  在发现扫描期间,Metasploit Pro会自动将主机数据存储在项目中。您可以查看主机数据以获得对网络拓扑的更好理解,并确定利用每个目标的最佳方法。通常,网络拓扑可以洞悉目标已安装的应用程序和设备的类型。您可以收集的有关目标的信息越多,对您进行测试的调整就越多。

  运行发现扫描很简单。在项目中,单击“扫描”按钮。

Metasploit(渗透测试软件)

  当出现“新发现扫描”表单时,在“目标地址”字段中输入要扫描的主机。您可以输入一个IP地址,带连字符的IP范围或标准CIDR表示法。每个项目都需要出现在换行符上。

Metasploit(渗透测试软件)

  您可以仅在目标范围内运行扫描。但是,如果要微调扫描,则可以配置高级选项。例如,您可以指定要从扫描中排除的主机,并从高级选项中设置扫描速度。

  想更多地了解发现扫描?查看此页面。

  汇入资料如果您使用的是漏洞扫描程序,则可以将漏洞报告导入Metasploit项目以进行验证。导入的漏洞数据还包括主机元数据,您可以对其进行分析以识别其他攻击路线。Metasploit支持多种第三方漏洞扫描程序,包括Nessus,Qualys和Core Impact。

  您还可以将数据从一个Metasploit项目导出和导入到另一个项目中。这使您可以在项目和其他团队成员之间共享发现。

  要将数据导入项目,请单击快速任务栏中的导入按钮。出现“导入数据”页面时,选择“从Nexpose导入”或“从文件导入”选项。根据您选择的选项,表格显示您需要配置以导入文件的选项。

Metasploit(渗透测试软件)

  例如,如果选择从Nexpose导入,则需要选择要用于运行扫描或导入站点的控制台。如果选择导入文件,则需要浏览到文件的位置。

  要查看受支持的导入类型的完整列表或要了解有关导入的更多信息,请查看此页面。

  查看和管理主机数据您可以在项目级别或主机级别查看主机数据。在项目级别,Metasploit提供了已添加到项目中的所有主机的高级视图。要访问项目视图,请选择分析>主机。项目视图最初显示“主机”列表,该列表显示每个主机的指纹以及枚举的端口和服务。您还可以查看项目的所有注释,服务,漏洞和捕获的数据。要访问其他视图,请在项目视图中单击其选项卡。

Metasploit(渗透测试软件)

  要查看主机的详细信息,可以单击主机的IP地址以访问单个主机视图。这是深入查看特定主机的漏洞和凭据的一种好方法。

Metasploit(渗透测试软件)

  运行漏洞扫描将目标数据添加到项目后,可以运行漏洞扫描以查明可以利用的安全漏洞。漏洞扫描程序利用漏洞数据库并检查以发现目标计算机上存在的已知漏洞和配置错误。这些信息可以帮助您确定潜在的攻击媒介,并制定和制定攻击计划,从而使您能够在利用过程中危及目标。

  与Nexpose的集成使您可以直接从Metasploit Web界面启动漏洞扫描。Nexpose扫描可识别在每个主机上运行的活动服务,打开的端口和应用程序,并尝试根据已知服务和应用程序的属性来识别可能存在的漏洞。Nexpose在扫描报告中披露结果,您可以将其与Metasploit共享以进行验证。

  要运行Nexpose扫描,请单击快速任务栏中的Nexpose按钮。

Metasploit(渗透测试软件)

  当出现Nexpose配置表单时,您需要配置并选择要用于执行扫描的控制台。与发现扫描类似,您需要定义要扫描的主机。您还需要选择一个可用的扫描模板,该模板定义Nexpose使用的审核级别。有关扫描模板的更多信息,请查看Nexpose文档。

Metasploit(渗透测试软件)

  要查看Nexpose发现的所有潜在漏洞,请选择分析>漏洞。您可以单击漏洞名称以查看可用于利用漏洞的模块。

Metasploit(渗透测试软件)

  在下一个最高测试阶段:剥削,这些信息变得很方便。

  漏洞扫描程序是有用的工具,可以帮助您快速发现目标上的潜在安全漏洞。但是,有时您可能想要避免检测并限制所产生的噪声量。在这些情况下,您可能需要运行一些辅助模块,例如FTP,SMB和VNC登录扫描程序,以手动识别可以利用的潜在漏洞。手动漏洞分析非常耗时,需要您自己进行研究,批判性思维和深入的知识,但是它可以帮助您创建准确而有效的攻击计划。

  轻松找到并利用漏洞扫描和检查漏洞的最简单方法是通过漏洞验证向导,该向导可以自动为Nexpose和Metasploit Pro用户提供验证过程。该向导提供了一个指导界面,引导您完成验证过程的每个步骤-从导入Nexpose数据到自动利用漏洞,再到将验证结果发送回Nexpose。

  如果您无权访问Nexpose和/或Metasploit Pro,则验证过程需要手动分析漏洞。手动验证需要更多的工作量,但可以提供对目标漏洞的更多控制。

  有关漏洞验证的更多信息,请查看此页面。

  利用已知漏洞在收集了有关目标的信息并确定了潜在的漏洞之后,可以进入开发阶段。利用只是针对发现的漏洞运行利用的过程。成功的利用漏洞尝试提供对目标系统的访问,因此您可以执行诸如窃取密码哈希和下载配置文件之类的事情。它们还使您能够识别和验证漏洞带来的风险。

  Metasploit提供了几种可用于执行利用的方法:自动利用和手动利用。

  自动利用自动利用功能会交叉引用开放服务,漏洞参考和指纹以查找匹配的利用。所有匹配的漏洞利用都被添加到攻击计划中,该计划基本上确定了可以运行的所有漏洞利用。自动利用漏洞的简单目标是通过利用Metasploit为目标主机提供的数据来尽快获得会话。

  要运行自动利用,请单击“快速任务”栏中的“利用”按钮。

Metasploit(渗透测试软件)

  至少,您需要提供要利用的主机以及每种利用的最低可靠性。可以设置最低可靠性,以确保所发射漏洞的安全性。可靠性级别越高,所利用的漏洞利用就不太可能使服务崩溃或对目标产生负面影响。有关每个模块排名的说明,请查看此页面。

  手工剥削手动利用为利用漏洞提供了更有针对性和更有条理的方法。它使您可以一次运行一个选择的漏洞利用程序。如果存在要利用的特定漏洞,此方法特别有用。例如,如果您知道Windows XP目标上的SMB服务器没有MS08-067修补程序,则可能要尝试运行相应的模块来加以利用。

  要搜索模块,请选择“模块”>“搜索”,然后输入要运行的模块的名称。查找确切模块匹配的最佳方法是按漏洞参考进行搜索。例如,如果要搜索ms08-067,则可以搜索“ ms08-067”。您也可以按以下模块路径进行搜索:exploit/windows/smb/ms08_067_netapi。

  查找漏洞利用程序的最简单方法之一是直接从漏洞页面。要查看项目中的所有漏洞,请选择“分析”>“漏洞”。您可以单击漏洞名称以查看可用于利用该漏洞的相关模块。

Metasploit(渗透测试软件)

  单个漏洞视图显示了可以针对主机运行的漏洞利用列表。您可以单击利用按钮以打开模块的配置页面。

Metasploit(渗透测试软件)

  配置通用漏洞利用模块设置每个模块都有自己的一组选项,可以根据您的需求进行定制。这里列出的可能性太多。但是,以下是一些通常用于配置模块的选项:

  有效负载类型-指定漏洞利用将传递给目标的有效负载类型。选择以下有效负载类型之一:

  命令-命令执行有效负载,使您能够在远程计算机上执行命令。

  Meterpreter-一种高级有效负载,提供命令行,使您能够即时传递命令并注入扩展。

  连接类型-指定您希望Metasploit实例连接到目标的方式。选择以下连接类型之一:

  自动-检测到NAT时自动使用绑定连接;否则,将使用反向连接。

  绑定-使用绑定连接,当目标位于防火墙或NAT网关后面时,此连接很有用。

  反向-使用反向连接,这在系统无法启动与目标的连接时非常有用。

  LHOST-定义本地主机的地址。

  LPORT-定义要用于反向连接的端口。

  RHOST-定义目标地址。

  RPORT-定义要攻击的远程端口。

  目标设置-指定目标操作系统和版本。

  利用超时-以分钟为单位定义超时。

  剥削后的证据成功利用漏洞的任何利用都会导致开放的会话,您可以使用该会话从目标中提取信息。攻击的真正价值取决于可以从目标中收集的数据,例如密码哈希,系统文件,以及屏幕截图,以及如何利用这些数据来访问其他系统。

  要查看打开的会话列表,请选择“会话”选项卡。单击会话ID以查看可以针对主机运行的利用后任务。

Metasploit(渗透测试软件)

  要从被利用的系统收集证据,请单击“收集”按钮。

Metasploit(渗透测试软件)

  显示所有打开的会话的列表,并向您显示可以收集的证据类型。

Metasploit(渗透测试软件)

  暴力破解和重用密码获取目标的最流行方法之一是使用密码攻击。您可以使用Bruteforce或Reusing Credentials进行密码攻击。

  清理会话完成打开的会话后,您可以清理会话以删除可能遗留在系统上的所有证据并终止会话。要清理会话,请转到“会话”页面,然后单击清理按钮。

Metasploit(渗透测试软件)

  当出现“会话清理”页面时,选择要关闭的会话,然后单击“清理会话”按钮。

Metasploit(渗透测试软件)

  生成报告在渗透测试的最后,您需要创建一个包含渗透测试结果的可交付成果。Metasploit提供了许多报告,可用于编译测试结果并将数据合并为可分发的有形格式。每个报告将您的发现组织到相关部分,显示统计数据的图表,并总结主要发现。

Metasploit(渗透测试软件)下载地址

你可能感兴趣的软件
  • Reason Core Security 2.1.0.9 官方版

    6.72 MB/2017-03-28

    Reason Core Security是一款病毒扫描软件。Reason Core Security简单易用,同时具有强大的病毒防护功能。软件能够快速扫描电脑上的文件,同时可删除恶

  • Ad-Aware Antivirus 12.0.604 官方版

    1019 KB/2017-02-16

    Ad-Aware Antivirus是一款小巧易用的系统安全工具。它可以扫描你的内存,注册表,硬盘和外部存储器,并且快速的找出广告跟踪文件和相关成分,然后按照你的选择安全的把它们删

  • 电脑系统安全锁 1.81 官方版

    901 KB/2016-04-18

    电脑系统安全锁,保护自已系统安全,系统开机即进入保护状态,初始密码为951753,建议用户使用后马上更改密码。另软件无须安装,原文件删除后仍能保护,且卸载方便,欢迎大家测试!升级说

  • SeeMeMe Security Scanner 2.0 官方版

    631 KB/2016-04-11

    SeeMeMe Security Scanner是一款系统安全维护软件,可以搜索系统中所有的安全漏洞,包括所有的进程、TCP/UDP端口等 .

  • TrojanShield 1.0.0 官方版

    1.99 MB/2016-04-06

    TrojanShield这个工具能保护你不受黑客和木马侵扰。如果有人试图攻击你,它将会自动报警。使用这个小工具不需要你有太多的电脑网络知识,你安装后它便开始工作了。

  • 冰盾系统安全专家 1.0.0 官方版

    2.24 MB/2016-03-28

    冰盾系统安全专家嵌入式内核技术全面替代硬盘保护卡领跑系统安全软件。本软件可以极其有效的防止病毒、木马及其他恶意代码或人为对系统造成的不同程度的危害,真正实现注册表内容防删除、防篡改

  • Access Manager 10.0 官方版

    1.89 MB/2016-03-25

      Access Manager 是一个非常不错的系统安全工具!他可以帮助你为自己的电脑加上密码,取消系统启动时热键!为你的Windows加上启动密码!在你离开的时候立即帮助你锁定

  • Boot Drive Lock 1.0.0 官方版

    814 KB/2016-03-25

    Boot Drive Lock是一个硬盘安全防护工具。当系统从软盘启动或当C盘被另一个系统所使用时,能够将C盘锁住,可以达到防护效果。

  • PC Activity Monitor Net 7.71 官方版

    1.13 MB/2016-03-17

    PC Activity Monitor Net是一个电脑系统的安全监视工具软件,它让你可以随时掌握电脑被别人使用的情形。

  • PC Activity Monitor pro 7.7.1 官方版

    1.17 MB/2016-03-17

      PC Activity Monitor pro是一个电脑系统的安全监视工具软件,它让你可以随时掌握电脑被别人使用的情形。

  • PC Activity Monitor 10.2 官方版

    3.54 MB/2016-03-17

      PC Activity Monitor是一个电脑系统的安全监视工具软件,它让你可以随时掌握电脑被别人使用的情形。

  • Windows系统安全改密器 1.3.5.0 官方版

    1.24 MB/2016-03-13

    Windows系统安全改密器(电脑开机密码修改器)是一款绿色免费的由瀚宇软件工作室开发的电脑系统密码修改软件。软件功能强大,可以轻松修改系统的开机密码。程序操作简单,无复杂步骤。

每日更新软件推荐
  • 一周最热
  • 总排行榜

您可能感兴趣的专题

  • 男生必备

    男生必备

    男生们看过来!

  • 安卓装机必备

    安卓装机必备

  • 女生必备

    女生必备

      女生必备app是拥有众多女性用户的手机软件,作为一个女生,生活中像淘宝、京东这类线上购物软件可以说是少不了的,小红书这种穿搭、化妆分享平台也很受欢迎,类似于西柚大姨妈、美柚这种专为女生打造的生理期app更是手机必备,还有大家用的最多拍照美颜app是绝对不能忘记的,除此之外对于一些追星女孩来说,微博也是一个必不可少的软件。超多女生必备软件尽在下载吧!

  • 迅雷看看使用教程

    迅雷看看使用教程

    迅雷看看播放器是一款多功能在线高清多媒体视频播放器,支持本地播放与在线视频点播,采用P2P点对点传输技术,可以在线流畅观看高清晰电影。不仅如此,迅雷看看不断完善用户交互和在线产品体验,让您的工作与生活充满乐趣。

  • 驱动精灵

    驱动精灵

    驱动精灵是一款集驱动管理和硬件检测于一体的、专业级的驱动管理和维护工具。驱动精灵为用户提供驱动备份、恢复、安装、删除、在线更新等实用功能,也是大家日常生活中经常用到的实用型软件之一了。

  • 拼音输入法

    拼音输入法

    对于电脑文字输入,拼音输入法是一种非常受欢迎的输入法,搜狗拼音输入法、百度拼音输入法、QQ拼音输入法、谷歌拼音输入法、紫光拼音输入法、智能拼音输入法等,你在用哪款呢?一款好用适合自己的拼音输入法一定对您平时帮助很大!下载吧收集了最热门国人最喜欢用的拼音输入法给大家。

  • b站哔哩哔哩怎么使用

    b站哔哩哔哩怎么使用

    很多人都喜欢在b站哔哩哔哩上观看视频,不单是因为可以提前看到一些视频资源,B站的一些弹幕、评论的玩法也是被网友们玩坏了!下面下载吧小编带来了b站哔哩哔哩怎么使用的教程合集!希望能帮到你啦!

  • 抖音短视频app

    抖音短视频app

    抖音短视频app,这里汇聚全球潮流音乐,搭配舞蹈、表演等内容形式,还有超多原创特效、滤镜、场景切换帮你一秒变大片,为你打造刷爆朋友圈的魔性短视频。脑洞有多大,舞台就有多大!好玩的人都在这儿!