metasploit

Pen testen webapplicaties met Metasploit's Wmap scanner

Pen testen webapplicaties met Metasploit's Wmap scanner
"Scannen" omvat alle methoden en technieken voor het identificeren van actieve systemen zoals netwerken of servers om het besturingssysteem en de architectuur te ontdekken. Deze technieken worden gebruikt om kwetsbare punten in een netwerk te identificeren die kunnen worden misbruikt.

Dit is een tutorial voor beginners over het gebruik van de WMAP-plug-in die is opgenomen in het Metasploit-framework om te scannen op kwetsbaarheden in webapplicaties. We zullen de webapplicatie DVWA als doel gebruiken om het scanproces te demonstreren dat is uitgevoerd met WAMP. DVWA is een afkorting voor "verdomd kwetsbare webapplicatie", en de app is speciaal ontworpen om door cybersecurity-beginners te worden gebruikt om hun penetratievaardigheden te testen en aan te scherpen.

Het Metasploit-framework instellen in Kali Linux

We beginnen met het lanceren van het Metasploit-framework. Start eerst de PostgreSQL-server door te typen:

$ sudo systemctl start postgresql

Initialiseer vervolgens de database met msfdb init:

$ msfdb init

Start vervolgens de PostgreSQL-service met service postgresql start

$ sudo-service postgresql start

Typ vervolgens msfconsole om de Metasploit-database te starten

$ sudo msfconsole

De database is nu geladen. U kunt ervoor zorgen dat de database correct is geladen, typt u in:

$ msf > db_status

WMAP laden

Start vervolgens WMAP met de volgende opdracht:

$ msf > laad wmap

De opdrachtshell geeft het volgende venster weer:

Typ "?” en Metasploit zal het helpmenu tonen, dat zal er waarschijnlijk ongeveer zo uitzien:

$ msf > ?

Voer de doelsite in om het scannen te starten

Gebruik de wmap_sites om sites te beheren die u wilt scannen.

$ msf > wmap_sites

Dit is wat je invoert om een ​​site toe te voegen:

$ msf > wmap_sites -a http://172.16.1.102

$ msf > wmap_sites -l

Nu moeten we Metasploit naar de site van het slachtoffer verwijzen door de URL op te geven

$ msf > wmap_targets

Typ wmap_targets -t om naar de site te verwijzen:

$ msf > wmap_targets -t http://172.16.1.102/dvwa/index.php

$ msf > wmap_targets -l

De mods laden

Typ wmap_run . voordat we de scanner uitvoeren. U krijgt de opties voor deze opdracht te zien.

$ msf > wmap_run

Zet in wmap-run gevolgd door een -t vlag.

$ msf > wmap_run -t

Zoals u kunt zien, heeft dit alle ingeschakelde modules opgesomd, waarvan er allerlei soorten zijn:. Er zijn er ook die gehandicapt zijn. U kunt zien dat de SSL-module tot de uitgeschakelde behoort, omdat de slachtoffersite deze niet gebruikt.

Als u gedetailleerde informatie wilt, typt u info, gevolgd door de informatie over de mod.

De scanner uitvoeren

Om te beginnen met scannen, typt u wmap_run gevolgd door -e vlag. Het scannen duurt normaal gesproken behoorlijk lang.

$ msf > wmap_run -e

Gebruik de opdracht wmap_vulns -l om de resultaten van de scan te zien.

$ msf > wmap_vulns -l

Conclusie

Deze walkthrough voor beginners ging over het gebruik van de WAMP-module van Metasploit voor het scannen van webapplicaties en het controleren op kwetsbaarheden. We hebben ingesteld hoe de Metasploit-database te starten, hoe de WAMP-add-on te starten en om deze naar een web-app te leiden om het scannen te starten. Met pentesten kunt u in een web-app controleren op mogelijke hotspots voor inbreuken om ze te elimineren, waardoor de beveiliging wordt versterkt.

Spellen OpenTTD-zelfstudie
OpenTTD-zelfstudie
OpenTTD is een van de meest populaire simulatiegames voor bedrijven die er zijn. In dit spel moet je een geweldig transportbedrijf creëren. U begint e...
Spellen SuperTuxKart voor Linux
SuperTuxKart voor Linux
SuperTuxKart is een geweldige titel die is ontworpen om je de Mario Kart-ervaring gratis te bieden op je Linux-systeem. Het is behoorlijk uitdagend en...
Spellen Strijd om Wesnoth Zelfstudie
Strijd om Wesnoth Zelfstudie
The Battle for Wesnoth is een van de meest populaire open source strategiespellen die je op dit moment kunt spelen. Dit spel is niet alleen al heel la...