开工跟新工具篇,顺便测试一下远程文件包含,包含冰蝎木马。
网上各种靶机各种渗透测试平台,今天测试一下Metasploitable2。
其实Metasploitable3很早已经出来了,n年前我也测试过,光是搭环境就很麻烦。
虽然3出来了,但是Metasploitable2仍然是个很好的入门学习工具。
首先下载Metasploitable2,下载地址:
https://sourceforge.net/projects/metasploitable/
下载下来是个zip压缩包。
解压以后是个虚拟机文件。
解压到相应的目录,使用VMware Workstation打开。
打开后是个标准虚拟机。
我为了演示方便使用的是桥接模式,实际测试时建议使用nat模式或仅主机模式,因为这个系统有好多漏洞,容易被别人渗透利用。
虚拟机启动以后可以看到欢迎界面:
默认用户名密码:msfadmin/msfadmin
使用ifconfig查看ip地址。
浏览器打开后可以看到界面。
我一般用DVWA,默认密码:admin/password
DVWA可以设置不同的安全级别,而且可以查看不同级别的代码,可以测试OWASP常见漏洞。
具体方法不在这里描述了。