2024年5月7日发(作者:)

Metasploit渗透测试实验报告

一、实验目的:

1.了解Metasploit框架的概念、组成,掌握Metasploit框架的

基本使用,能够利用Metasploit对已知漏洞进行渗透攻击;模拟灰盒

测试对DVSSC(定V)公司的网络进行渗透,最终得到系统权限,并有

效开展后渗透攻击。

2.在渗透过程中逐渐掌握科学的渗透测试方法,即 PTES标准渗

透测试方法七个阶段:

前期交互阶段(跳过)

情报搜集阶段

威胁建模阶段

漏洞分析阶段

渗透攻击阶段

后渗透攻击阶段

报告阶段;

3.在渗透测试过程中逐渐清晰渗透所要求掌握的技能,有针对有

目的的进行初步学习,为将来进一步学习奠定一定的基础。

二、执行摘要

1.背景:

《Metasploit渗透测试魔鬼训练营》一书采用独特的让读者成为

虚拟渗透测试的主角的方式,经历一次对DVSSC公司网络的渗透测

试任务。渗透测试的目标为DVSSC公司DMZ网段以及内网客户端主

机。四个主机均存在严重漏洞缺陷,可执行不同方式的攻击方式。

2.整体情况:

信息搜集阶段获得了dvscc的域名注册信息、地理位置,以及

DMZ网段操作系统版本、开放端口及其服务版本等信息,但域名注册

信息存有疑问。

漏洞扫描阶段获得DMZ网段主机大量漏洞信息,可采取不同方

式的攻击方式,如口令猜测、网络服务渗透攻击、浏览器渗透攻击等。

渗透攻击阶段对DMZ网站主机部分漏洞进行利用,但有部分漏

洞没有利用成功。对getshell的主机进行了有效的后渗透攻击。

三、具体报告

1.实验环境